Nexeo.group Website Review

Cabinet de consulting pour la Transformation des processus et SI en Banque, Finance et urance - Nexeo

Le groupe Nexeo est spécialiste du Conseil Métier et de la transformation des Systèmes d'Information pour la banque, la finance et l' urance.

DevOps : quelles stratégies adopter pour urer son succès dans le Cloud ?

Importance des systu00e8mes historiques L'automatisation ayant fait ses preuves, de nombreuses initiatives ont u00e9tu00e9 lancu00e9es pour amu00e9liorer le taux d'automatisation dans les institutions financiu00e8res. Le trading algorithmique est un exemple d'automatisation bu00e9nu00e9ficiant de l'u00e9volution des infrastructures de marchu00e9. Google a montru00e9 ce que l'automatisation pouvait apporter en automatisant la gu00e9nu00e9ration de revenus u00e0 partir de la publicitu00e9, ce qui a motivu00e9 de nombreux projets de marketing. En termes de productivitu00e9, lu2019automatisation des opu00e9rations permet au personnel de se concentrer sur les exceptions et les du00e9cisions u00e0 valeur ajoutu00e9e. Cependant, cela a mis en u00e9vidence le concept de dette technologique, ou00f9 les systu00e8mes et infrastructures existants peuvent limiter la mesure dans laquelle un processus peut u00eatre automatisu00e9. La consu00e9quence directe de la croissance de lu2019automatisation est la montu00e9e en puissance des FinTechs. La plupart essaient d'utiliser des technologies plus efficaces que celles des institutions financiu00e8res pour optimiser des processus spu00e9cifiques. Cependant, la plupart du00e9pendent encore de l'infrastructure des services financiers, qui a u00e9tu00e9 construite au fil des du00e9cennies par les institutions financiu00e8res et nu2019est pas nu00e9cessairement compatible. Interdu00e9pendance des systu00e8mes Un exemple typique du2019interconnectivitu00e9 est la chau00eene d'actions initiu00e9e u00e0 partir d'un paiement. Par exemple, les activitu00e9s transactionnelles sur les marchu00e9s financiers nu00e9cessitent un accu00e8s aux marchu00e9s, aux courtiers, la capacitu00e9 de calculer les prix, d'envoyer des confirmations aux systu00e8mes internes et u00e0 ceux des contreparties, de gu00e9nu00e9rer les reportings ru00e9glementaires, etc. Les activitu00e9s de paiement par cartes doivent, elles, gu00e9rer des flux aller-retour du2019informations, du2019interrogations et du2019autorisations, ainsi que le chiffrement de bout en bout. Ceci implique de nombreuses u00e9tapes qui, pour u00eatre automatisu00e9es, ne sont pas visibles par la plupart des acteurs. Cependant, des du00e9faillances dans un maillon de la chau00eene peuvent affecter l'ensemble du processus, chez plusieurs acteurs simultanu00e9ment. L'indisponibilitu00e9 ou la simple perte de performances des systu00e8mes utilisu00e9s affectent gravement les opu00e9rations. En particulier dans les activitu00e9s de paiement, le temps nu00e9cessaire pour complu00e9ter une opu00e9ration est un u00e9lu00e9ment critique. Ainsi, quel que soit le degru00e9 du2019innovation, il n'y a pas d'exemple de nouvel acteur sans une infrastructure technologique solide. Du00e9pendance aux donnu00e9es Les donnu00e9es sont la pierre angulaire des services financiers. Les conditions des pru00eats sont du00e9cidu00e9es en fonction des donnu00e9es des contreparties et de leur environnement, les investissements sont ru00e9alisu00e9s en fonction des donnu00e9es des marchu00e9s en essayant d' yser les u00e9volutions potentielles, les nouveaux produits sont lancu00e9s u00e0 partir des espu00e9rances de du00e9veloppement issues des donnu00e9es marketing. Post-acquisition, tous les clients sont surveillu00e9s gru00e2ce aux donnu00e9es de leurs opu00e9rations et la comparaison avec leurs pairs. Pour ru00e9pondre u00e0 ces besoins, toute une industrie s'est du00e9veloppu00e9e au cours des derniu00e8res du00e9cennies. Des noms tels que Bloomberg, Factset, Markit ou Reuters sont familiers car du00e9ju00e0 utilisu00e9s pour fournir des indices sur de nombreux aspects de l'u00e9conomie. Les bourses qui n'abritent plus de salles de marchu00e9 sont devenues de puissants fournisseurs de donnu00e9es (NYSE TEchnologies, ICE Data Services ...). En outre, certains fournisseurs se consacrent u00e0 la gestion des donnu00e9es, car au sein des organisations, l'utilisation de donnu00e9es est souvent gu00e9ru00e9e de maniu00e8re incru00e9mentale, entrau00eenant des surcou00fbts et parfois une diminution de l'intu00e9gritu00e9 des donnu00e9es. La cru00e9ation et la maintenance d'une source de donnu00e9es fiable est une tu00e2che complexe pour les grandes organisations. La donnu00e9e su2019est u00e9galement invitu00e9e lu00e0 ou00f9 le papier ru00e9gnait en mau00eetreu00a0: GED, OCR, signature u00e9lectronique. La digitalisation des contrats fait reposer lu2019u00e9difice juridique des u00e9tablissements sur les systu00e8mes de donnu00e9es, lu00e0 ou00f9 le scan de do ents pru00e9sentait autrefois une double su00e9curitu00e9. Il en ru00e9sulte un besoin de nouveaux acteurs, comme les tiers de confiance certifiu00e9s, et la nu00e9cessitu00e9 de cadrer et de tracer les processus du2019approbation afin du2019u00e9viter une jurisprudence basu00e9e sur la du00e9fiance des systu00e8mes. Du00e9pendance aux tiers Comme nous venons de le voir, les compu00e9tences en matiu00e8re de TIC deviennent tru00e8s spu00e9cialisu00e9es, et les u00e9tablissements financiers peuvent difficilement toutes les internaliser. Ils ont donc un besoin croissant de recours u00e0 la prestation. L'utilisation du cloud computing est en augmentation et fait l'objet d'une attention ru00e9glementaire spu00e9cifique. Cependant, il s'agit d'un aspect de la du00e9lu00e9gation d'une partie de l'infrastructure u00e0 des tiers, alors que lu2019externalisation peut aller jusquu2019u00e0 lu2019ensemble des mu00e9tiers de lu2019informatique. Lu2019externalisation mu00e9tier est pertinente en particulier pour les s structures, qui du fait de la concurrence ont besoin de se recentrer sur leur cu0153ur de mu00e9tier, et cherchent u00e0 externaliser au maximum les fonctions non opu00e9rationnelles. Mais pas seulement. Les initiatives ru00e9glementaires ou les contraintes du marchu00e9 ont parfois augmentu00e9 le besoin de puissance de calcul. Solvabilitu00e9 II ou FRTB sont deux exemples qui nu00e9cessitent de modifier le nombre de machines exu00e9cutant des calculs avec toute la connectivitu00e9 ociu00e9e. Dans ce cas, s'appuyer sur des entreprises spu00e9cialisu00e9es capables de du00e9ployer rapidement des capacitu00e9s de traitement et de fournir des garanties de gestion et de mise u00e0 niveau est une du00e9cision tru00e8s tentante. L'ensemble de l'infrastructure en tant que service (IaaS) est une industrie u00e0 part entiu00e8re avec les services financiers comme clients prisu00e9s. Une extension naturelle de l'infrastructure est le logiciel. Le du00e9veloppement, la maintenance et la mise u00e0 niveau d'un systu00e8me informatique est une tu00e2che complexe. Le du00e9bat sur Buy vs Build (choix du2019acheter un progiciel externe ou de du00e9velopper en interne) dure depuis longtemps, et penche de plus en plus vers le choix externe. Et ce choix est de plus en plus multi-acteurs. Au lieu du2019un fournisseurs externe et du2019un service informatique interne, on trouve maintenant une couche de du00e9veloppeurs spu00e9cialisu00e9s, qui adaptent des progiciels complexes en du00e9veloppant des fonctionnalitu00e9s spu00e9cifiques requises par les clients. Dans le pire des cas, ces caractu00e9ristiques spu00e9cifiques ont changu00e9 le progiciel u00e0 tel point u00a0que les mises u00e0 niveau ont u00e9tu00e9 rendues difficiles. Une solution a donc u00e9tu00e9 de du00e9lu00e9guer la gestion du progiciel pour s' urer qu'il serait maintenu par le fournisseur ou le du00e9veloppeur, y compris des mises u00e0 niveau en temps opportun. Identification des risques liu00e9s aux TIC Apru00e8s cet aperu00e7u de lu2019u00e9tendue de lu2019exposition des u00e9tablissements aux TIC et u00e0 leurs acteurs, il est aisu00e9 de comprendre pourquoi la gestion des risques liu00e9s aux TIC est devenue un enjeu majeur de la gestion des risques dans les u00e9tablissements. De tru00e8s spu00e9cialisu00e9s par le p u00e9 (relations avec les fournisseurs de cloud, exigences de PCA), les textes ru00e9glementaires se sont adaptu00e9s u00e0 cette complexitu00e9 et couvrent aujourdu2019hui la plupart des risques identifiables. Du00e9finition Tout comme les risques opu00e9rationnels, les risques liu00e9s aux TIC ont la particularitu00e9 de comprendre aussi bien des risques issus de failles internes que de menaces externes. La du00e9finition des risques liu00e9s aux TIC et u00e0 la su00e9curitu00e9 dans les lignes directrices de lu2019EBA est la suivante : Risque de perte du00e9coulant du2019une violation de la confidentialitu00e9, du2019une du00e9faillance de lu2019intu00e9gritu00e9 des systu00e8mes et des donnu00e9es, de lu2019inadu00e9quation ou de lu2019indisponibilitu00e9 des systu00e8mes et des donnu00e9es, ou de lu2019impossibilitu00e9 de modifier les technologies de lu2019information dans un du00e9lai et pour des cou00fbts raisonnables, lorsque lu2019environnement ou les exigences mu00e9tiers changent. Cela inclut les risques de su00e9curitu00e9 du00e9coulant de processus internes insuffisants ou de du00e9faillance de ces processus, ou bien du2019u00e9vu00e9nements externes, tels que des cyberattaques ou une su00e9curitu00e9 physique insuffisante Les cyberattaques sont toujours plus nombreuses, notamment depuis que le travail u00e0 distance, gu00e9nu00e9ralisu00e9 par la pandu00e9mie, a du00e9clenchu00e9 une augmentation des flux externes de donnu00e9es, et plus ru00e9cemment depuis que la France a u00e9tu00e9 montru00e9e du doigt comme lu2019un des pays les plus laxistes en matiu00e8re de cybersu00e9curitu00e9. Il su2019agit aussi du risque le plus visible par le public. Cependant, la du00e9finition montre bien que la cybersu00e9curitu00e9 est loin d'u00eatre la seule pru00e9occupation en matiu00e8re de risques TIC. En effet, dans les u00e9tablissements financiers, de nombreux systu00e8mes critiques fonctionnent en permanence, qu'ils soient ou non accessibles de l'extu00e9rieur. Pour le bon du00e9roulement des activitu00e9s, les problu00e8mes de disponibilitu00e9 des systu00e8mes ou d'intu00e9gritu00e9 des donnu00e9es sont tout aussi importants, plus fru00e9quents, et peuvent avoir des consu00e9quences tout aussi du00e9sastreuses et cou00fbteuses que les attaques externes. Typologies de risques Les lignes directrices de lu2019EBA, reprises en grande partie par le projet de ru00e8glement, ont ainsi cl u00e9 les risques TIC en cinq catu00e9goriesu00a0: Disponibilitu00e9 et continuitu00e9 Intu00e9gritu00e9 des donnu00e9es Su00e9curitu00e9 Risques liu00e9s aux changements Risques liu00e9s aux externalisations Cette segmentation peut avoir des chevauchements (changement cru00e9ant des problu00e8mes d'intu00e9gritu00e9 des donnu00e9es, u00e9vu00e9nements de su00e9curitu00e9 affectant la disponibilitu00e9 des systu00e8mesu2026) mais fournit un point de du00e9part qui rejoint de nombreuses demandes ru00e9glementaires. Elle met u00e9galement en lumiu00e8re les sources de risques les moins visibles (risque de ru00e9gression, manque de contru00f4le des prestations externes). Lu2019u00e9tendue des risques considu00e9ru00e9s est encore plus visible lorsque lu2019on entre dans le du00e9tail de chacun du2019entre euxu00a0: La disponibilitu00e9 et la continuitu00e9 couvrent tous les aspects du maintien des systu00e8mes en conditions de fonctionnement ainsi que les actions de restauration de ces systu00e8mes lorsqu'ils sont compromis. Toutes les entitu00e9s financiu00e8res maintiennent des sites de sauvegarde u00e0 partir desquels elles peuvent exu00e9cuter leurs applications lorsque leurs sites principaux sont compromis. Avec la complexitu00e9 croissante des systu00e8mes, garantir que ces sites peuvent remplir leur objectif doit u00eatre testu00e9 ru00e9guliu00e8rement. Les tests complets doivent idu00e9alement garantir que les systu00e8mes fonctionnent, que toutes les donnu00e9es sont accessibles en amont et en aval et que les utilisateurs peuvent faire fonctionner les systu00e8mes. Les tests de continuitu00e9 sont complexes. Pour u00eatre pleinement convaincant sur les volumes de production, certains tests sont nu00e9cessaires pour prouver qu'ils peuvent gu00e9rer une pu00e9riode typique, au moins une journu00e9e complu00e8te. Cette u00ab lecture en direct u00bb signifie la commutation du systu00e8me en direct sur le site de sauvegarde et nu00e9cessite une planification tru00e8s minutieuse pour garantir que le test n'impacte pas directement la production. La su00e9curitu00e9 est un domaine spu00e9cifique avec des compu00e9tences et des u00e9quipes du00e9diu00e9es. Les cyberattaques prennent le plus souvent plusieurs semaines u00e0 pru00e9parer avec divers test du2019accu00e8s via le phishing, des vulnu00e9rabilitu00e9s d'infrastructure ou des faiblesses d'organisations tru00e8s spu00e9cifiques. Cependant, une fois qu'une intrusion a eu lieu, le but de l'attaquant est gu00e9nu00e9ralement de ne pas u00eatre du00e9tectu00e9 pour avoir le temps de mettre en place des u00e9lu00e9ments supplu00e9mentaires de son attaque. Le CSIRT (Computer Security Incident Response Team) doit u00eatre vigilant pour ru00e9agir aux intrusions suffisamment rapidement pour s' urer que les dommages sont limitu00e9s ou que les zones compromises sont su00e9paru00e9es du reste de l'organisation. L'une des difficultu00e9s de la surveillance de la su00e9curitu00e9 est qu'elle doit s'appliquer u00e0 de nombreux types d'accu00e8s diffu00e9rents depuis des aspects tru00e8s techniques de l'infrastructure (ru00e9seau, serveursu2026) jusqu'au fonctionnement interne d'applications spu00e9cifiques ou00f9 la configuration et la gestion des accu00e8s peuvent cru00e9er des combinaisons complexes u00e0 surveiller. La gestion du changement est souvent considu00e9ru00e9e comme l'une des principales activitu00e9s des u00e9quipes informatiques, car les systu00e8mes u00e9voluent constamment. Mais le changement peut u00eatre u00e0 l'origine d'incidents tru00e8s cou00fbteux. L'incident du2019Euronext en octobre 2020 est nu00e9 de ce qui u00e9tait pru00e9vu comme une migration standard. Avec l'augmentation de la connectivitu00e9 des systu00e8mes et l'u00e9volution constante, les tests de continuitu00e9 et de non-ru00e9gression sont cruciaux. Cependant, il est difficile de couvrir tous les cas possibles, de mu00eame que de reproduire le volume sous lequel les systu00e8mes sont pru00e9vus pour fonctionner. Cela explique que les tests et l' urance qualitu00e9 peuvent repru00e9senter plus d'un quart du budget informatique. L'importance d'amu00e9liorer la qualitu00e9 et la rapiditu00e9 du du00e9veloppement est primordiale et a gu00e9nu00e9ru00e9 de nombreuses initiatives, de l'automatisation des tests u00e0 l'u00e9mergence de DevOps pour de nombreuses institutions. L'intu00e9gritu00e9 des donnu00e9es peut u00eatre du00e9crite comme l' urance de l'exactitude et de la cohu00e9rence des donnu00e9es tout au long de leur cycle de vie. L'importance des donnu00e9es est difficile u00e0 ignorer car pratiquement toutes les institutions se sont tournu00e9es vers lu2019 yse m ive de donnu00e9es pour suivre leurs activitu00e9s, connau00eetre leurs clients, yser les informations de marchu00e9s ou du00e9velopper leurs activitu00e9s. Les exigences ru00e9glementaires, telles que BCBS 239 ou le RGPD, ont u00e9galement apportu00e9 leur lot de contraintes concernant la mau00eetrise des donnu00e9es. La gouvernance des donnu00e9es et la cru00e9ation de golden sources est devenue cruciale u00e0 la fois pour maintenir lu2019intu00e9gritu00e9 des donnu00e9es au sein des systu00e8mes et pour ru00e9duire les cou00fbts d'exploitation. Avec d'innombrables entru00e9es de donnu00e9es dans une vaste architecture informatique et la nu00e9cessitu00e9 de mau00eetriser les cou00fbts des fournisseurs, les problu00e9matiques de donnu00e9es ont engendru00e9 des besoins de structuration croissants. Enfin, la mau00eetrise des risques liu00e9s u00e0 l'externalisation vise u00e0 couvrir les risques gu00e9nu00e9ru00e9s par le recours u00e0 des prestataires dans diverses situations. Cela peut aller de l'impact d'un processus entiu00e8rement externalisu00e9 u00e0 la consu00e9quence d'une seule activitu00e9 spu00e9cialisu00e9e, voire u00e0 un simple du00e9veloppement commandu00e9 en externe. L'utilisation de solutions basu00e9es sur le Cloud implique u00e9galement la mau00eetrise de tous les risques ci-dessus. Que ce soit dans le cas du2019applications externalisu00e9es ou du2019hu00e9bergement en cloud, le risque de changement est partiellement gu00e9ru00e9 par le fournisseur, mais la responsabilitu00e9 reste chez lu2019u00e9tablissement. La gestion du risque d'externalisation doit donc u00eatre proportionnu00e9e au risque. Elle peut aller de la formalisation du2019obligations contractuelles gu00e9nu00e9rales u00e0 une commande et un suivi tru00e8s pru00e9cis entre lu2019u00e9tablissement et ses prestataires, jusquu2019u00e0 la mise u00e0 disposition du2019un environnement spu00e9cifique sous contru00f4le de lu2019u00e9tablissement. Evaluation des impacts La difficultu00e9 d'u00e9valuer les impacts des risques liu00e9s aux TIC est que l'origine de la plupart des risques est identifiu00e9e par les u00e9quipes informatiques alors que les impacts affectent principalement les utilisateurs. Malheureusement, la communication entre les deux communautu00e9s reste difficile dans la plupart des cas. Certains utilisateurs n'ont pas une compru00e9hension ez claire des systu00e8mes impliquu00e9s dans leurs activitu00e9s pour se rendre compte de la du00e9pendance de leurs opu00e9rations u00e0 l'u00e9gard de ceux-ci. Ce n'est guu00e8re surprenant u00e9tant donnu00e9 la difficultu00e9 que mu00eame les professionnels de l'informatique ont u00e0 u00e9valuer les interdu00e9pendances entre systu00e8mes. L'u00e9valuation des interdu00e9pendances est encore plus difficile lorsque des tiers interviennent dans les processus. Pour couvrir le risque du2019un ensemble interconnectu00e9, les u00e9tablissements et les ru00e9gulateurs ont du00fb p er au concept de ru00e9silience opu00e9rationnelle. Pour illustrer la nu00e9cessitu00e9 de cette du00e9marche, examinons la mesure d'impact sur une occurrence de risque liu00e9 aux TIC selon diffu00e9rentes sources. Evaluation interne D'un point de vue purement informatique, la plupart des systu00e8mes peuvent u00eatre reconstruits en un temps limitu00e9 et souvent bien estimu00e9. Ru00e9installer un systu00e8me complet u00e0 partir d'un nouveau matu00e9riel, en utilisant une copie de sauvegarde ru00e9cente, u00e9quivaudra au cou00fbt du matu00e9riel, des licences logicielles potentielles et du temps des diffu00e9rentes u00e9quipes informatiques susceptibles d'u00eatre impliquu00e9es. La connexion du systu00e8me u00e0 ses nombreuses sources de donnu00e9es plausibles et aux systu00e8mes en aval nu00e9cessitera des tests supplu00e9mentaires. La taille et la ru00e9activitu00e9 des u00e9quipes auront un impact car plusieurs u00e9quipes spu00e9cialisu00e9es disponibles instantanu00e9ment et capables de travailler ensemble successivement sont plus cou00fbteuses qu'une seule u00e9quipe gu00e9nu00e9raliste. Ce cou00fbt est gu00e9nu00e9ralement une fraction des montants impliquu00e9s dans l'utilisation des systu00e8mes des institutions financiu00e8res, qu'il s'agisse du montant transfu00e9ru00e9 depuis un systu00e8me de paiement, gu00e9nu00e9ru00e9 par une activitu00e9 de trading ou susceptible d'u00eatre perdu suite u00e0 une indisponibilitu00e9 prolongu00e9e. En comparant les cou00fbts de retour u00e0 lu2019activitu00e9 avec les revenus issus de l'utilisation des systu00e8mes et les consu00e9quences des pannes sur le ru00e9sultat financier total, le du00e9partement informatique peut budgu00e9ter les ressources de backup et de retour u00e0 la normale. Evaluation systu00e9mique Cependant, la perte u00e9valuu00e9e u00e0 ce stade est gu00e9nu00e9ralement sous-estimu00e9e. Une u00e9valuation des risques devrait u00e9galement prendre en compte d'autres impacts tels que la perte de confiance des clients et des dommages u00e0 la marque, qui sont plus difficiles u00e0 estimer. Sur le plan financier, les amendes contractuelles ou ru00e9glementaires pour manquement aux obligations devraient u00e9galement u00eatre prises en considu00e9ration. Par exemple, lu2019indisponibilitu00e9 d'un systu00e8me pour une activitu00e9 de trading ou de paiement peut conduire au non-respect du2019obligations contractuelles entrau00eenant des consu00e9quences importantes. Cu00f4tu00e9 marchu00e9s, des systu00e8mes comme SWIFT imposent des obligations strictes et pru00e9voient gu00e9nu00e9ralement des sanctions lorsqu'elles ne sont pas remplies. Cu00f4tu00e9 retail, une du00e9faillance des systu00e8mes de paiement peut avoir un impact du2019image immu00e9diat par le biais des ru00e9seaux sociaux. Les contrats avec les gros vendeurs pru00e9voient donc u00e9galement des performances cibles orties de sanctions. Enfin, si les contrats des systu00e8mes commerciaux pru00e9voient des sanctions financiu00e8res, des systu00e8mes comme Target2 ou CHAPS sont sous la supervision directe des banques centrales, et les violations peuvent rapidement attirer l'attention des superviseurs. Limitation des impacts L'un des aspects de la solution consiste u00e0 se concentrer sur la continuitu00e9 informatique. Si toutes les consu00e9quences de la du00e9faillance du2019un systu00e8me sont difficiles u00e0 u00e9valuer, avoir des processus de sauvegarde et de ru00e9tablissement rapide est la solution la plus simple pour faire face u00e0 la plupart des problu00e8mes. L'importance de la continuitu00e9 informatique est gu00e9nu00e9ralement du00e9finie par un objectif de processus de ru00e9cupu00e9ration (RPO) et un objectif de temps de ru00e9cupu00e9ration (RTO). Les applications critiques ont gu00e9nu00e9ralement un RPO du00e9fini u00e0 0. Cela signifie que la ru00e9cupu00e9ration permettra au processus d'u00eatre restauru00e9 sans perdre aucune u00e9tape. Par exemple, aucune transaction n'est perdue lors du p age u00e0 la solution de sauvegarde. De mu00eame, le RTO du00e9finit un temps auquel le systu00e8me est censu00e9 u00eatre u00e0 nouveau disponible. Malheureusement, les u00e9tablissements financiers majeurs sont susceptibles d'avoir des centaines d'applications avec un RPO de 0 ou un RTO court (quelques heures). Cet objectif reste donc atteignable dans le cas du2019un incident ponctuel, sur une application qui nu2019en impacte pas du2019autres, mais devient inatteignable en cas de dysfonctionnement m if, les ressources nu00e9cessaires pour urer la restauration complu00e8te dans les temps impartis u00e9tant exorbitantes. Du2019autres considu00e9rations peuvent venir impacter la capacitu00e9 de restauration. Par exemple, si une partie d'un processus repose sur un systu00e8me avec des attentes moindres, l'ensemble du processus pourrait u00eatre affectu00e9 par le fait que ce systu00e8me ne soit pas restauru00e9 dans le mu00eame laps de temps. La nu00e9cessitu00e9 est donc de s' urer que le processus informatique est considu00e9ru00e9 comme un tout. Cette approche u00e9tend l'u00e9valuation d'impact d'un systu00e8me u00e0 un processus. Cependant, elle nu2019est efficace que lorsque lu2019ensemble des participants sont sollicitu00e9s dans la pru00e9paration des plans de ru00e9tablissement. Or, aujourdu2019hui encore, cette responsabilitu00e9 reste trop souvent du ressort des services informatiques. Mu00eame si les clients internes et les principaux clients externes sont pris en compte, dans la plupart des cas, cela se fait sans u00a0 yse de bout en bout. Espu00e9rons que les derniers textes ru00e9glementaires, qui exigent une information, voire une participation, de lu2019ensemble des acteurs concernu00e9s dans les projets informatiques, permettront du2019amu00e9liorer cet aspect de la pru00e9vention des risques. Actions pru00e9ventives et correctrices Afin de pru00e9venir les risques liu00e9s aux TIC, les derniers textes ru00e9glementaires vont bien au-delu00e0 de la simple continuitu00e9 des systu00e8mes. Dans les lignes directrices de lu2019EBA et le projet de ru00e8glement, on trouve ainsi des exigences concernant : La formation La connaissance des processus et des systu00e8mes liu00e9s La do entation La su00e9curitu00e9 Le contru00f4le interne La collecte et lu2019 yse des incidents Le reporting Si depuis plusieurs annu00e9es les u00e9tablissements ont commencu00e9 u00e0 sensibiliser leurs employu00e9s u00e0 la pru00e9vention des cyberattaques (phishing, virus, chevaux de Troie, etc.), les nouvelles exigences couvrent la sensibilisation aux risques informatiques de toute nature, la formation aux ru00e8gles de pru00e9vention des risques et une formation plus approfondie u00e0 la su00e9curitu00e9. A lu2019instar des formations sur la lutte anti-blanchiment, les ru00e9gulateurs imposent u00e9galement une fru00e9quence au moins annuelle de formation, ainsi quu2019une formation spu00e9cifique des dirigeants effectifs. Mu00eame pour les u00e9tablissements bien u00e9quipu00e9s dans ce domaine, le changement de pu00e9rimu00e8tre et lu2019obligation de fru00e9quence, qui induit une obligation de suivi, devrait nu00e9cessiter quelques ajustements. Pour du2019autres, ce sera lu2019occasion de renforcer un axe de pru00e9vention bien nu00e9cessaire. La grande nouveautu00e9 apportu00e9e par les textes est lu2019exigence du2019une cartographie des processus pru00e9alable u00e0 la cartographie des systu00e8mes. En effet, pour u00e9viter le silotage des directions informatiques et opu00e9rationnelles, les ru00e9gulateurs exigent que la criticitu00e9 des opu00e9rations soit du2019abord u00e9valuu00e9e cu00f4tu00e9 mu00e9tier, avec toutes les interactions liu00e9es, puis seulement u00e9tendue aux systu00e8mes qui les sous-tendent. Cette volontu00e9 de transversalitu00e9 se retrouve u00e9galement dans les exigences de pilotage de projets, ou00f9 lu2019ensemble des acteurs concernu00e9s, et spu00e9cifiquement les acteurs mu00e9tier, ont une obligation de participation active. Cerise sur le gu00e2teau, les lignes directrices EBA comme le projet de ru00e8glement incluent spu00e9cifiquement dans ces exigences les EUC (End User Computing, ou applications bureautiques utilisu00e9es par les opu00e9rationnels sans p er par le du00e9partement informatique). Et dans ce cas, lu2019effort sera inversu00e9, avec lu2019obligation pour les opu00e9rationnels du2019inclure de du00e9partement informatique dans leurs projets. Lu2019obligation de do entation est u00e9galement renforcu00e9e, puisquu2019elle couvre lu2019ensemble des processus de pru00e9vention et de du00e9tection des risques liu00e9s aux TIC. Du cadre de gestion des risques aux processus projet, en p ant par la charte SSI, les codes source, le recensement des externalisations ou la cartographie des risques, les ru00e9gulateurs exigent une formalisation complu00e8te des ressources liu00e9es au TIC. Celle-ci couvre aussi bien les processus amont (cartographies, recensement, procu00e9dures, contractualisation) quu2019aval (incidents, plans du2019action, reporting). La partie su00e9curitu00e9 couvre des u00e9lu00e9ments cl iques qui ne devraient pas changer les mesures du00e9ju00e0 en place dans la plupart des u00e9tablissementsu00a0: su00e9curitu00e9 physique, SIEM, authentification forte, limitation des comptes u00e0 privilu00e8ge, etc. Cu2019est sur la partie tests que le projet de ru00e8glement pru00e9voit des contraintes beaucoup plus exigeantesu00a0que les dispositions actuellement en place : obligation de tests approfondis au moins tous les trois ans ( ulu00e9e u00e0 lu2019exigence u00e0 un an de lu2019EBA pour les systu00e8mes critiques), par des testeurs accru00e9ditu00e9s, conduits selon des principes en attente de normes techniques des ESAs, le tout sous la surveillance des superviseurs. Bien que le ru00e8glement ne soit pas finalisu00e9, il est fortement recommandu00e9 aux u00e9tablissements de pru00e9voir rapidement un renforcement de cette activitu00e9, car lu2019exigence de certification des tiers risque de cru00e9er une raretu00e9 des ressources disponibles lors de la premiu00e8re ru00e9alisation de tests suivant la publication. Les textes nu2019introduisent pas du2019u00e9lu00e9ment particuliu00e8rement nouveau en matiu00e8re de contru00f4le interne par rapport u00e0 la gestion habituelle des risques opu00e9rationnels. Les risques liu00e9s aux TIC faisant partie des catu00e9gories bu00e2loises historiques, u00e0 une question de terminologie pru00e8s, les u00e9tablissements devront sans doute tout au plus ajuster leurs plans de contru00f4le existants. Le principe de faire suivre les risques par une fonction de contru00f4le indu00e9pendante est normalement intu00e9gru00e9 depuis longtemps par les u00e9tablissements, de mu00eame que lu2019intervention de lu2019audit interne. Le principe de correction et de plans du2019actions, formalisu00e9 dans le ru00e8glement, nu2019introduit pas non plus du2019idu00e9es radicalement nouvelles. Pour que les nouveaux textes soient gu00e9rables par les u00e9tablissements, il fallait au moins un u00e9lu00e9ment sur lequel les u00e9tablissements puissent cocher la case sans trop du2019effort. Le principe de collecte et du2019 yse des incidents ne devrait pas non plus beaucoup changer les habitudes enu00a0place. Ce type de suivi est en effet depuis longtemps au cu0153ur de lu2019u00e9valuation des performances, tant des services informatiques que des fournisseurs externes. Lu00e0 ou00f9 les textes introduisent des nouveautu00e9s, cu2019est en termes de reporting des incidents. En effet, lu00e0 ou00f9 habituellement lu2019informatique lavait son linge sale en familleu201d, les nouvelles ru00e9glementations exigent une remontu00e9e des incidents vers lu2019organe de direction, immu00e9diatement en cas du2019incident majeur, u2026 ainsi que vers les autoritu00e9s de supervision. Le RGPD est p u00e9 par lu00e0. Cette obligation de reporting ne se limite pas aux incidents. La volontu00e9 affichu00e9e des textes est du2019une part du2019impliquer bien plus directement les dirigeants effectifs et autres organes de direction dans la gestion des risques liu00e9s aux TIC, et du2019autre part de renforcer la supervision, les connaissances et lu2019implication des superviseurs dans ce domaine. Ainsi, un appu00e9tit au risque spu00e9cifique aux TIC doit u00eatre proposu00e9 u00e0 lu2019organe de surveillance. Lu2019organe de direction ume la responsabilitu00e9 globale du cadre de gestion des risques liu00e9s aux TIC u2026 et au-delu00e0 des reportings voulus par le texte, aura sans doute des exigences du2019information bien plus approfondies quu2019aujourdu2019hui. Quant aux superviseurs, le projet de ru00e8glementation pru00e9voit explicitement leur information dans un certain nombre de casu00a0: modification des systu00e8mes critiques, externalisations informatiques, ru00e9sultat des tests de continuitu00e9, incidents majeurs. Leur autorisation pru00e9alable est u00e9galement nu00e9cessaire pour lu2019externalisation des tu00e2ches de contru00f4le des risques, ainsi que pour la validation de la portu00e9e des tests du2019intrusion. Mu00eame si beaucoup de choses sont du00e9ju00e0 en place dans les u00e9tablissements, en particulier dans les plus gros, on voit que la mise en place de lu2019intu00e9gralitu00e9 des exigences engendrera tout de mu00eame un effort important. Celui-ci sera encore plus important pour les s structures, moins bien pru00e9paru00e9es au du00e9part, et encore plus brutal pour les entitu00e9s non bancaires, qui subiront de plein fouet lu2019impact du ru00e8glement sans u00eatre p u00e9s par lu2019u00e9tape intermu00e9diaire des lignes directrices EBA. A ces derniu00e8res, nous conseillons vivement de ru00e9aliser du00e8s u00e0 pru00e9sent un u00e9tat des lieux de lu2019effort u00e0 fournir pour parvenir u00e0 une conformitu00e9 minimale sur lu2019ensemble des points requis. Stratu00e9gie des u00e9tablissements Devant lu2019u00e9tendue des risques et des mesures requises pour les couvrir, les u00e9tablissements font (ou feront) face u00e0 la nu00e9cessitu00e9 du2019opu00e9rer des choix stratu00e9giques en matiu00e8re de systu00e8mes informatiques, et donc indirectement en matiu00e8re de processus opu00e9rationnels liu00e9s. Pour chaque systu00e8me et chaque processus du00e9pendant, les choix se ru00e9duisent u00e0 quatre actions exclusives les unes des autresu00a0: Cesser l'activitu00e9 gu00e9nu00e9rant le risque Accepter le risque Transfu00e9rer le risque Attu00e9nuer le risque Cesser une activitu00e9 u00e0 cause du risque quu2019elle engendre est une mu00e9thode ez extru00eame. Hormis dans le cas de risques inacceptables par rapport u00e0 lu2019appu00e9tit au risque de lu2019u00e9tablissement, ce choix est gu00e9nu00e9ralement ru00e9servu00e9 u00e0 des stratu00e9gies du2019arbitrage, entre le rapport cou00fbt bu00e9nu00e9fice de plusieurs activitu00e9s dont la poursuite est remise en question. Sortir du numu00e9rique dans lu2019absolu nu2019est pas une option. Au contraire, la pandu00e9mie de 2020 a montru00e9 que l'utilisation de l'informatique et de la digitalisation u00e9tait non seulement incontournable, mais quu2019elle u00e9tait nu00e9cessaire lors du2019un changement radical du contexte opu00e9rationnel. Lu2019acceptation du risque tel quu2019il est et son inclusion dans lu2019appu00e9tit au risque suppose une du00e9cision au niveau le plus u00e9levu00e9 de lu2019organisation. Cela ne su2019envisage donc que lorsquu2019il n'y a pas de moyen efficace de gu00e9rer certains risques liu00e9s aux TIC, ou lorsque le cou00fbt de mise en u0153uvre de ces moyens est disproportionnu00e9 par rapport aux bu00e9nu00e9fices du systu00e8me en lu2019u00e9tat, mu00eame pondu00e9ru00e9 par les risques potentiels. Ce cas sera nu00e9anmoins de plus en plus rare, puisque les mesures globales du2019attu00e9nuation du risque deviendront obligatoires de toute fau00e7on. Pour quu2019un risque informatique brut soit intu00e9gru00e9 u00e0 lu2019appu00e9tit au risque de lu2019u00e9tablissement, il faudra donc quu2019aucune des mesures du2019attu00e9nuation du risque imposu00e9es par les nouveaux textes ru00e9glementaires ne pru00e9sente la moindre efficacitu00e9. Transfu00e9rer le risque consiste u00e0 du00e9placer l'activitu00e9 chez un tiers, souscrire u00e0 une urance ou pru00e9voir un accompagnement externe spu00e9cifique en cas d'u00e9vu00e9nements explicites. Lu2019externalisation est clairement une option pour les risques liu00e9s u00e0 lu2019infrastructure, u00e0 des logiciels non ou peu interconnectu00e9s, et parfois u00e0 des processus entiers lorsquu2019ils sont suffisamment autonomes (KYC, calculs de risque). Le transfert de cou00fbt reste toutefois limitu00e9 par lu2019obligation quu2019ont les institutions de contru00f4ler leurs prestataires de services critiques. Dans ce cas, le gain existe lorsque lu2019expertise du prestataire en maintenance ou en su00e9curitu00e9 du00e9p e largement celle du2019une solution internalisu00e9e. Lu2019 urance du risque informatique est en pleine expansion, et en u00e9volution. Auparavant limitu00e9 u00e0 la responsabilitu00e9 civile professionnelle des SSII ou u00e0 lu2019 urance des actifs corporels, le secteur de lu2019 urance a trouvu00e9 une opportunitu00e9 avec lu2019entru00e9e en vigueur du RGPD et de ses sanctions anormalement u00e9levu00e9es. La montu00e9e en puissance des cyberattaques et les du00e9faillances des infrastructures de marchu00e9 ont u00e9galement u00e9largi le champ des possibles pour les ureurs u2026 et pour les acteurs financiers, qui ont commencu00e9 u00e0 arbitrer entre cou00fbts de contru00f4le interne et cou00fbt de ru00e9duction du risque. Cette solution peut u00eatre performante notamment pour les s structures, chez lesquelles les capacitu00e9s de contru00f4le interne ou du2019expertise IT sont limitu00e9es. Lu2019activitu00e9 est toutefois relativement nouvelle pour les ureurs, et les actuaires manquent de recul pour urer un pricing stable. Il faudra donc attendre encore quelques annu00e9es pour savoir si cette solution est pu00e9renne, voire pru00e9sente des opportunitu00e9s de croissance. Dans la plupart des cas, les risques liu00e9s aux TIC sont attu00e9nuu00e9s. De plus, en imposant des mesures globales, applicables u00e0 lu2019ensemble des actifs et projets informatiques, les textes ru00e9glementaires ru00e9cents permettent des u00e9conomies du2019u00e9chelle sur les mesures du2019attu00e9nuation du risque. Ils favorisent donc lu2019internalisation des compu00e9tences de mau00eetrise des risques liu00e9s aux TIC. Dans ce contexte, les cou00fbts du2019 urance ou de surveillance des externalisations deviennent des cou00fbts supplu00e9mentaires. La ru00e9glementation est donc clairement en train du2019influencer la stratu00e9gie des u00e9tablissements vers lu2019attu00e9nuation des risques. Conclusion Le principal changement apportu00e9 par les derniers textes ru00e9glementaires, et repris dans le projet de ru00e8glement, est le changement en matiu00e8re de gouvernance. En imposant lu2019inclusion des risques liu00e9s aux TIC dans lu2019appu00e9tit au risque de lu2019u00e9tablissement, il implique lu2019organe de surveillance. En exigeant que lu2019organe de direction du00e9finisse, supervise et soit responsable du cadre de gestion des risques informatiques, il implique les dirigeants effectifs. Enfin, il exige pour le risque informatique le mu00eame cadre de mau00eetrise du risque et de reporting (tant en interne que vis-u00e0-vis des superviseurs) que celui appliquu00e9 u00e0 tous les risques fondamentaux des u00e9tablissements financiers. Si le projet de ru00e8glement est adoptu00e9 en lu2019u00e9tat, ou dans un u00e9tat proche de sa forme actuelle, les risques liu00e9s aux TIC viendront donc su2019ajouter u00e0 la gestion des risques des u00e9tablissements au mu00eame titre que le risque de cru00e9dit, de marchu00e9 ou de liquiditu00e9. Culturellement, les u00e9tablissements sont-ils pru00eats u00e0 un changement aussi radicalu00a0? Traditionnellement, les risques liu00e9s aux TIC sont gu00e9ru00e9s par le du00e9partement informatique. La ru00e9cente montu00e9e en puissance de la fonction de RSSI, souvent rattachu00e9e au du00e9partement Risques, a commencu00e9 u00e0 poser la question de la lu00e9gitimitu00e9 du2019une gestion des risques uru00e9e par le du00e9partement qui les initie. Une question ru00e9glu00e9e par les nouveaux textes, puisque ceux-ci exigent que les risques liu00e9s aux TIC soient gu00e9ru00e9s par une fonction de contru00f4le indu00e9pendante. La question qui se pose est donc de savoir avec quel enthousiasme cette ru00e9organisation des responsabilitu00e9s va u00eatre reu00e7ue. Par les du00e9partements informatiques du2019abord, qui vont voir leurs responsabilitu00e9s diminuer, mais surtout qui vont se retrouver surveillu00e9s et supervisu00e9s, lu00e0 ou00f9 ils jouissaient du2019une autonomie et du2019une indu00e9pendance dont ils profitaient largement. Par les directions mu00e9tier ensuite, qui vont devoir su2019impliquer dans les projets informatiques lu00e0 ou00f9 ils avaient lu2019habitude de du00e9lu00e9guer ces tu00e2ches u00e0 des du00e9partements MOA ou u00e0 du2019autres ressources externes. Pour les directions gu00e9nu00e9rales, enfin, qui voient leur niveau de responsabilitu00e9 augmenter dans un domaine ou00f9 leur courbe du2019expu00e9rience nu2019en est quu2019u00e0 ses du00e9buts.     ,post_date:2021-09-08 16:22:27,post_excerpt:,post_parent:0,post_status:publish,post_title:Croissance et mau00eetrise des risques liu00e9s aux technologies de lu2019information et de la communication (TIC),post_type:post,slug:risquestic,inline_featured_image:0,_edit_lock:1634138375:21,_edit_last:9,_yoast_wpseo_content_score:30,entity:,_entity:field_5c13af641c820,_yoast_wpseo_primary_category:193,lm_post_views_count:379,_oembed_e544a73af234a13746fc5328fe4dcef0:{{unknown}},_oembed_798f5b5b185dcedde603cdedbcd9d0ad:{{unknown}},_thumbnail_id:10099,_wp_old_date:2021-09-07,post_date_gmt:2021-09-08 14:22:27,comment_status:open,ping_status:open,post_p word:,post_name:risquestic,to_ping:,pinged:,post_modified:2021-09-08 16:22:27,post_modified_gmt:2021-09-08 14:22:27,post_content_filtered:,guid:https://www.nexeo.group/blog/?p=10081,menu_order:0,post_mime_type:,comment_count:0,filter:raw,status:publish},{ImageCl :Timber\Image,PostCl :Timber\Post,TermCl :Timber\Term,object_type:post,custom:{inline_featured_image:0,_edit_lock:1631263131:9,_edit_last:9,_yoast_wpseo_content_score:30,_yoast_wpseo_primary_category:55,lm_post_views_count:263,_thumbnail_id:10077,entity:,_entity:field_5c13af641c820},id:10070,ID:10070,post_author:9,post_content:Le #MDMu00a0fait de la donnu00e9e un vu00e9ritable actif deu00a0BNP Paribas Cardifu00a0: le 23 septembre prochain de 9h u00e0 10h, istez u00e0 notre table ronde virtuelle en partenariat avecu00a0TIBCOu00a0EBX pour profiter du retour d'expu00e9rience de Cardif sur la mise en place, par nos u00e9quipes, de leur projet de refonte stratu00e9gique.   BNP Paribas Cardif tu00e9moignera de sa du00e9marche qualitu00e9 de la donnu00e9e au service des gestionnaires du2019actifs en abordant les thu00e8mes suivants : u2714ufe0f Comment disposer d'une donnu00e9e de qualitu00e9, partagu00e9e et maintenable au plus pru00e8s des exigences mu00e9tiers u2714ufe0f Les bu00e9nu00e9fices du MDM : un dictionnaire unique des donnu00e9es partagu00e9 en temps ru00e9el, pilotage par une gouvernance du00e9diu00e9e u2714ufe0f Le projet : cadrage, accompagnement au changement, TMA, prochaines u00e9tapes.   Les inscriptions sont closes !   Et pour rester informu00e9 de toutes nos actualitu00e9s et tous nos u00e9vu00e8nements, suivez-nous sur Linkedin.,post_date:2021-08-31 17:39:47,post_excerpt:,post_parent:0,post_status:publish,post_title:Table Ronde - Jeudi 23 septembre : Quand le MDM fait de la donnu00e9e un vu00e9ritable actif de BNP Paribas Cardif,post_type:post,slug:quand-le-mdm-fait-de-la-donnee-un-veritable-actif-de-bnp-paribas-cardif,inline_featured_image:0,_edit_lock:1631263131:9,_edit_last:9,_yoast_wpseo_content_score:30,_yoast_wpseo_primary_category:55,lm_post_views_count:263,_thumbnail_id:10077,entity:,_entity:field_5c13af641c820,post_date_gmt:2021-08-31 15:39:47,comment_status:open,ping_status:open,post_p word:,post_name:quand-le-mdm-fait-de-la-donnee-un-veritable-actif-de-bnp-paribas-cardif,to_ping:,pinged:,post_modified:2021-09-10 10:41:11,post_modified_gmt:2021-09-10 08:41:11,post_content_filtered:,guid:https://www.nexeo.group/blog/?p=10070,menu_order:0,post_mime_type:,comment_count:0,filter:raw,status:publish}], select: '' + 1 + '', numberOfItems: 3, multItems: 2, filter: 'all' } }, computed: { all: function all() { let that = this; this.hootsuite = this.hootsuite.filter(function (item){ return item.postUrl && item.postUrl.length; }); this.hootsuite.forEach(function (item) { if (item.postUrl.indexOf('linkedin') !== -1) { item.nexeo_from = 'linkedin'; item.nexeo_select = '3'; } else { item.nexeo_from = 'facebook'; item.nexeo_select = '3'; } }); Object.entries(this.twitternx).forEach(function (item, index) { item[1].nexeo_from = 'twitter'; item[1].nexeo_account = 'twitter_nexeo'; item[1].nexeo_select = '3'; that.twitter.push(item[1]); }); Object.entries(this.twitterfx).forEach(function (item, index) { item[1].nexeo_from = 'twitter'; item[1].nexeo_account = 'twitter_finaxium'; item[1].nexeo_select = '2'; that.twitter.push(item[1]); }); this.blog.forEach(function (item) { item.nexeo_from = 'blog'; item.nexeo_select = '1'; }); let un_ordered = this.hootsuite.concat(this.twitter); un_ordered.sort(function (a, b) { if (that.date_compare(a).isBefore(that.date_compare(b))) { return 1; } else if (that.date_compare(a).isSame(that.date_compare(b))) { return 0; } else { return -1; } }); return un_ordered.concat(this.blog); }, items: function items() { let that = this; let toReturn = this.all; if ('all' !== this.filter) { toReturn = toReturn.filter(function (item) { return item.nexeo_from === that.filter; }); } if ('1' !== this.select) { toReturn = toReturn.filter(function (item) { return item.nexeo_select === that.select; }) } return toReturn; } }, methods: { selectFilter: function selectFilter(filter) { this.filter = filter; this.$nextTick(function () { $('.item_content').linkify(); }) }, filterActive: function filterActive(filter) { return this.filter === filter; }, date: function date(item) { if (item.scheduledSendTime) { return moment(item.scheduledSendTime).fromNow(); } if (item.created_at && item.created_at.date) { return moment(item.created_at.date).fromNow(); } if (item.post_date) { return moment(item.post_date).fromNow(); } }, date_compare: function date_compare(item) { if (item.scheduledSendTime) { return moment(item.scheduledSendTime); } if (item.created_at && item.created_at.date) { return moment(item.created_at.date); } if (item.post_date) { return moment(item.post_date); } }, content: function content(item) { if (item.text) { return item.text; } if (item.full_text) { return item.full_text; } if (item.post_content) { return item.post_content; } }, user: function user(item) { if (item.nexeo_account) { if ('twitter_finaxium' === item.nexeo_account) { return 'Finaxium'; } } return 'Nexeo Groupe'; }, isTwitter: function isTwitter(item) { return item.nexeo_from && 'twitter' === item.nexeo_from; }, isFinaxiumTwitter: function isFinaxiumTwitter(item) { return this.isTwitter(item) && 'twitter_finaxium' === item.nexeo_account; }, printRightTwitterLink: function printRightTwitterLink(item) { if (this.isTwitter(item)) { if ('twitter_finaxium' === item.nexeo_account) { return 'https://twitter.com/Finaxium'; } } return 'https://twitter.com/NexeoFinance'; }, twitterAt: function twitterAt(item) { if (this.isTwitter(item)) { if ('twitter_finaxium' === item.nexeo_account) { return '@Finaxium'; } } return '@NexeoGroupe'; }, hasImage: function hasImage(item) { if (this.isTwitter(item)) { if (typeof item.entities.media !== undefined) { if (item.entities.media.length) { return true; } } } return false; }, image: function image(item) { if (this.hasImage(item)) { return item.entities.media[0].media_url_https; } } }});$('.item_content').linkify(); Wanted : des talents et des personnalités

Le match : Multiprocessing vs Multithreading En programmation, les modules de multithreading et de multiprocessing servent un objectif similaireu00a0: ru00e9aliser plusieurs tu00e2ches en mu00eame temps. Ils amu00e9liorent ainsi les performances du systu00e8me. La maniu00e8re dont chacun du2019eux y parvient est toutefois diffu00e9rente. Il su2019agit mu00eame du2019une diffu00e9rence fondamentale, puisquu2019elle impacte le ru00e9sultat obtenu. Pour ne plus les confondre, du00e9couvrez les diffu00e9rences principales entre ces deux modules et leurs caractu00e9ristiques clu00e9s. Vous aurez toutes les clu00e9s en main pour du00e9terminer lequel privilu00e9gier dans vos projets. Rappel de du00e9finitions Pour bien comprendre les diffu00e9rences entre multiprocessing et multithreading, voici tout du2019abord un rappel de du00e9finitionsu00a0: Processusu00a0: il su2019agit du2019une instance du2019un programme informatique en cours du2019exu00e9cution dans une machine. Il se compose de trois u00e9lu00e9mentsu00a0: un programme exu00e9cutable, les donnu00e9es ociu00e9es et le contexte du2019exu00e9cution. Thread : ce terme peut u00eatre traduit par u00abu00a0filu00a0u00bb en franu00e7ais. Il su2019agit du2019une unitu00e9 de ru00e9partition au sein du2019un processus. Il pourrait u00eatre qualifiu00e9, pour simplifier, de sous-ensemble de processus. Son exu00e9cution peut u00eatre planifiu00e9e et faite indu00e9pendamment du2019un autre thread. Le multiprocessing est basu00e9 sur les processus, tandis que le multithreading est basu00e9 sur les threads. Ces derniers font partie du2019un processus. Multiprocessing : du multitu00e2che basu00e9 sur les process Le multiprocessing est un systu00e8me intu00e9grant au minimum plus de deux processeurs pouvant u00eatre pris en charge simultanu00e9ment. Il utilise des processus plutu00f4t que des threads. Des processeurs supplu00e9mentaires peuvent u00eatre ajoutu00e9s pour augmenter la vitesse de calcul du systu00e8me. Pour comprendre lu2019atout du multiprocessing, imaginez un systu00e8me avec un seul processeur. Pour chaque nouveau processus lancu00e9, il serait obligu00e9 du2019interrompre celui en cours du2019exu00e9cution, puis de le reprendre ensuite. Cela repru00e9senterait une perte totale de productivitu00e9. Dans le cas du multiprocessing, tout peut u00eatre exu00e9cutu00e9 simultanu00e9ment, afin de ne pas interrompre de processus du00e9ju00e0 en cours. Les processeurs u00e9tant su00e9paru00e9s, lu2019un du2019eux peut se retrouver inactif, sans processus u00e0 traiter, tandis quu2019un autre est surchargu00e9. Avec le multiprocessing, ces processus sont ru00e9partis dynamiquement entre les diffu00e9rents processeurs. Le multiprocessing permet de ne pas se retrouver bloquu00e9 par le GIL (Global Interpreter Lock ou verrou du2019interpru00e9teur total) gru00e2ce u00e0 lu2019utilisation de sous-processus. Le programmeur peut ainsi exploiter de maniu00e8re optimale plusieurs processeurs en mu00eame temps.   u00a0Quu2019est-ce que le GIL dans Python ? Lorsque Python traite des processus, il utilise un verrouu00a0: le GIL (Global Interpreter Lock). Cette technologie sert u00e0 su00e9rialiser lu2019accu00e8s aux ressources internes de lu2019interpru00e8te depuis plusieurs threads. Dans le cadre du multiprocessing, il y a un GIL pour chaque processus cru00e9u00e9. Dans le multithreading, il nu2019y a quu2019un seul GIL pour lu2019ensemble des threads.   Multithreading : du multitu00e2che basu00e9 sur les threads Le thread est en ru00e9alitu00e9 un morceau de code du processus. Dans le multithreading, plusieurs threads peuvent coexister au sein du2019un processus, avec chacun ses registres et variables locales spu00e9cifiques. Ils partagent cependant tous les mu00eames variables globales et le code du programme. Le processeur peut ainsi traiter diffu00e9rents threads de maniu00e8re simultanu00e9e, sans engendrer de surcharge. Le systu00e8me nu2019a pas besoin du2019allouer du2019espaces supplu00e9mentaires su00e9paru00e9s pour chaque thread. Le multithreading est avantageux. Mu00eame si un thread nu00e9cessite plus de temps du2019exu00e9cution, ru00e9alise une action longue ou reste bloquu00e9, le processus continue u00e0 fonctionner. Le multithreading ne traite pas les tu00e2ches en parallu00e8le, mais en simultanu00e9u00a0: il su2019agit de tu00e2ches concurrentes. Les diffu00e9rences clu00e9s entre multiprocessing et multithreading Ces deux modules sont souvent confondus, en raison de leur objectif commun. Il existe pourtant des diffu00e9rences importantes u00e0 connau00eetreu00a0: Un systu00e8me de multiprocessing a toujours plus de deux processeurs. Le multithreading est une technique du2019exu00e9cution de programme permettant u00e0 un seul processus de gu00e9nu00e9rer plusieurs threads. Dans le cadre du multiprocessing, chaque nouveau processus est lancu00e9 de maniu00e8re indu00e9pendante du premier. Dans le multithreading, chaque nouveau thread est gu00e9nu00e9ru00e9 au sein du processus du00e9ju00e0 existant. Cela permet de faire u00e9conomiser des ressources et de ne pas surcharger le systu00e8me. Du00e9marrer un thread est plus rapide quu2019un processus. La mu00e9moire est partagu00e9e entre tous les threads, tandis que chaque processus dispose du2019une mu00e9moire propre. Les processus enfants ont cependant accu00e8s u00e0 la mu00e9moire des processus parents. Dans le multithreading, des mutex sont gu00e9nu00e9ralement indispensables. Cette technologie permet de contru00f4ler lu2019accu00e8s aux donnu00e9es partagu00e9es. Avec le multiprocessing, le mutex est rarement nu00e9cessaire. Chaque processus cru00e9u00e9 nu00e9cessite un GIL, mais un seul GIL suffit pour lu2019ensemble des threads. u00a0 Pourquoi privilu00e9gier le multithreading ? Le multiprocessing pru00e9sente des avantages certains, mais le multithreading su2019impose comme un meilleur choix dans la plupart des cas. Les avis sont souvent partagu00e9s, mais dans les faits, les applications reposant sur ce second moduleu00a0: Utilisent plus efficacement lu2019UCu00a0: lu2019application optimise lu2019efficacitu00e9 du processeur. Sont plus fiablesu00a0: ru00e9partir le programme entre plusieurs threads du2019exu00e9cution permet de ne pas du00e9grader celui-ci lorsque plusieurs tu00e2ches simultanu00e9es doivent u00eatre exu00e9cutu00e9es. Sa vitesse du2019exu00e9cution et sa fiabilitu00e9 sont pru00e9servu00e9es. Sont plus performantesu00a0: le multithreading utilise pleinement la puissance des multiprocesseurs. Du00e9sormais, de nombreux ordinateurs intu00e8grent plusieurs processeurs afin de booster la vitesse de calcul. Dans une application basu00e9e sur le multithreading, chaque processeur peut exu00e9cuter des threads spu00e9cifiques. Les performances de lu2019ensemble du systu00e8me su2019amu00e9liorent.   Le multiprocessing et le multithreading peuvent u00eatre confondus en raison de leur objectif similaire. Dans ces conditions, il peut u00eatre difficile de du00e9terminer vers quel module se tourner. La maniu00e8re du2019atteindre cet objectif commun est pourtant diffu00e9rente. Le multiprocessing permet de traiter de nombreuses tu00e2ches rapidement et du2019u00e9viter les limitations du GIL. Le multithreading offre, lui, plus de ru00e9activitu00e9. Ajouter de nouveaux threads au sein du2019un processus du00e9ju00e0 existant est plus rapide que de cru00e9er un nouveau processus. Ces deux modules pru00e9sentent des atouts, mais le multithreading su2019impose comme un meilleur choix. Par sa capacitu00e9 u00e0 traiter diffu00e9rents threads en mu00eame temps, il ru00e9pond aux u00e9volutions technologiques et nouveaux du00e9fis liu00e9s au du00e9veloppement du2019applications.   Ce sujet vous intu00e9resse ? Rejoignez nos u00e9quipes d'experts ! Cliquez-ici pour voir toutes nos offres d'emploi.   Pour aller plus loinu00a0: https://towardsdatascience.com/demystifying-python-multiprocessing-and-multithreading-9b62f9875a27  ,post_date:2021-10-15 15:24:25,post_excerpt:,post_parent:0,post_status:publish,post_title:Multiprocessing ou multithreading : quelles diffu00e9rences ?,post_type:post,slug:multiprocessing-ou-multithreading-quelles-differences,inline_featured_image:0,_edit_lock:1634563134:29,_edit_last:9,_yoast_wpseo_metadesc:Le multiprocessing et le multithreading visent tous deux u00e0 amu00e9liorer les performances du2019un systu00e8me. Du00e9couvrez leurs diffu00e9rences pour ne plus les confondre et choisir le plus pertinent.,_yoast_wpseo_content_score:60,_yoast_wpseo_primary_category:3,lm_post_views_count:86,entity:,_entity:field_5c13af641c820,_thumbnail_id:10149,post_date_gmt:2021-10-15 13:24:25,comment_status:open,ping_status:open,post_p word:,post_name:multiprocessing-ou-multithreading-quelles-differences,to_ping:,pinged:,post_modified:2021-10-15 15:24:25,post_modified_gmt:2021-10-15 13:24:25,post_content_filtered:,guid:https://www.nexeo.group/blog/?p=10146,menu_order:0,post_mime_type:,comment_count:0,filter:raw,status:publish},{ImageCl :Timber\Image,PostCl :Timber\Post,TermCl :Timber\Term,object_type:post,custom:{inline_featured_image:0,_edit_lock:1633618900:25,_edit_last:9,_yoast_wpseo_content_score:30,_yoast_wpseo_primary_category:191,lm_post_views_count:266,entity:,_entity:field_5c13af641c820,_oembed_869e55487a958da7dc190554f6f18f87:,_oembed_time_869e55487a958da7dc190554f6f18f87:1632140881,_thumbnail_id:10130},id:10117,ID:10117,post_author:9,post_content:Du2019enjeux sociaux en enjeux environnementaux et de gouvernance,u00a0la RSE*u00a0a suu00a0en quelques annu00e9esu00a0seu00a0faireu00a0uneu00a0place au sein des entreprises.u00a0Su2019il est possible de la considu00e9rer comme u00e9tant un sujet majeur du2019actualitu00e9,u00a0le vu00e9ritableu00a0du00e9fi pouru00a0lesu00a0entreprisesu00a0estu00a0du00e9sormaisu00a0de ru00e9ussir u00e0 combineru00a0les engagements de sa stratu00e9gieu00a0RSEu00a0tout enu00a0impliquantu00a0ses salariu00e9s.u00a0Aujourdu2019hui, ce nu2019est pas moins deu00a073 % des salariu00e9s franu00e7ais quiu00a0se disent du00e9u00e7us que leur entreprise ne leur propose pas des fau00e7ons de su2019engager. Alors comment ru00e9pondre u00e0 leurs attentesu202f ?u00a0 u00a0 De la sensibilisation u00e0 lu2019adhu00e9sionu00a0 Nous le savons, dans un contexte ou00f9u00a0les u00e9quipes sont de plus en plus u00e0 distance, lu2019engagement devient progressivementu00a0mental. Ainsi les valeurs et les enjeux portu00e9s par lu2019entreprise vont, de fait, favoriser cet engagement.u00a0Au-delu00e0u00a0du2019augmenter la productivitu00e9, la qualitu00e9 de vie au travail et lu2019image de marque employeur, avoiru00a0des collaborateurs engagu00e9su00a0est surtoutu00a0synonymeu00a0deu00a0ru00e9duction du stress,u00a0du turn-overu00a0et des risques psychosociaux. Saviez-vous queu00a079 %u00a0desu00a0Millenialsu00a0(18-35 ans)u00a0considu00e8rent la RSE commeu00a0critu00e8re majeur de leurs recherches du2019emploiu202f?u00a0Etu00a055% des collaborateurs disent que lu2019engagement social ou environnemental du2019une entreprise est un critu00e8reu00a0plus important que leu00a0salaire.**u00a0 u00a0 De fait, la mise en place du2019uneu00a0stratu00e9gie RSE justifiu00e9e et transparente devient un incontournableu00a0pour toutes lesu00a0entreprises,u00a0quelu00a0queu00a0soit sonu00a0secteur et sa taille. Mais portu00e9e uniquement par la direction ou le service communication, elle perd tout son sens. Informer est donc capital, mais reste une base insuffisante.u00a0Pour quu2019une stratu00e9gie RSE soit vu00e9ritablement efficiente, il faut quu2019elle soitu00a0connue, comprise mais surtout adoptu00e9eu00a0par les salariu00e9s.u00a0Alors, comment p er de la simple sensibilisation u00e0 lu2019adhu00e9sion et u00e0 lu2019implication desu00a0collaborateursu00a0?u00a0 u00a0 Pour convaincre nosu00a0chersu00a0collaborateurs, il faut leur donneru00a0envie du2019agir. Quels sont les bu00e9nu00e9fices pour eux et la sociu00e9tu00e9 dans son ensembleu202f? Une fois lu2019intu00e9ru00eat captu00e9, il faut leur donner les moyens du2019agir, tout du2019abord dans le cadre de leur travail, puis, pourquoi pas, ensuite en dehors. Pour ce faire, plusieurs niveaux de formations sont possiblesu202f: expliquer en du00e9tail la stratu00e9gie RSEu00a0(via des e-learning par exemple), accompagneru00a0leu00a0changement des comportements (u00e9co-gestesu00a0au travail par exemple),u00a0mettre en place un systu00e8me du2019incitation pour atteindre des objectifs individuels ou collectifsu2026 Le choix est vasteu00a0et du00e9pend des moyens et de la cru00e9ativitu00e9 de chaque entreprise.u00a0 u00a0 De lu2019adhu00e9sion u00e0 la mobilisationu202f: rendre ses collaborateurs acteurs de la stratu00e9gie RSEu00a0 Malheureusement, ces formations parfois lourdes peuvent sembler pu00e9nibles auxu00a0yeuxu00a0des collaborateurs, et ne favorisent finalement pas tant leur implication. Deux axes tru00e8s forts vont donc venir solidifier la du00e9marche du2019une entreprise.u00a0 Le premier levieru202fu00e0u00a0prendre en compteu202f:u00a0la co-construction. En encourageant les initiatives internes etu00a0enu00a0consultant les collaborateurs pour les prises de du00e9cisions, ils vont pouvoir su2019approprieru00a0les actions de leuru00a0entreprise et donc, su2019y intu00e9resser de plus pru00e8s. Comprendre que leurs choix,u00a0leurs envies,u00a0leur implicationu00a0-mu00eame minime-u00a0est visible rapidement sur les engagements de leur entreprise, vau00a0grandementu00a0favoriser leur envie du2019agir. Par exemple, mettez en place un comitu00e9 RSE composu00e9 de volontairesu00a0(pas uniquement de directeurs), impliquez un groupe du2019amb adeurs dans vos du00e9cisions et vos u00e9vu00e8nements, questionnez vosu00a0collaborateursu00a0sur le prochain type du2019action u00e0 mettre en place (plutu00f4t Clean-up Day ou Atelier Fresque du climatu202f?)u00a0ou via des groupes de travail.u00a0 Le deuxiu00e8me levier sur lequel su2019appuyeru202f:u00a0privilu00e9gier le jeu et les ateliers ludiques.u00a0Chezu00a0Nexeo, nous aimons particuliu00e8rement faire p er nos messages par le jeu. Eco-cluedou00a0pour la semaine europu00e9enne de la ru00e9duction des du00e9chets,u00a0Murderu00a0party,u00a0Escapeu00a0game, Quizu00a0sur lesu00a0thu00e9matique environnementales, Atelieru00a0Fresque du climatu00a0en pru00e9sentiel, atelier DIYu00a0sur des produits de la maisonu2026u00a0Et si la ru00e9ponse u00e9tait lu2019interactivitu00e9u202f?u00a0u00a0 u00a0 La gamification, un outil du00e9ju00e0 bien connu mais tropu00a0peuu00a0utilisu00e9u00a0 Diffu00e9rentes u00e9tudes ont montru00e9 que lu2019incitation indirecteu00a0serait plus efficace pour permettre un changement de comportement.u00a0On parle, alors, de lu2019effetu00a0nudge.u00a0Par exemple,u00a0si une entreprise veut inciter ses salariu00e9s u00e0 trier leurs du00e9chets,u00a0installer une affiche explicative dans la cafu00e9tu00e9ria aura un impact moindre que du2019organiseru00a0unu00a0seriousu00a0game.u00a0u00a0 La gamificationu00a0permet du2019utiliser les mu00e9caniques de jeu pour cru00e9er de lu2019engagement ou gu00e9nu00e9rer des actions.u00a0Ainsi,u00a0lier sa politique RSE u00e0 une dynamique interactiveu00a0permet de gu00e9nu00e9rer lu2019intu00e9ru00eat,u00a0deu00a0susciter lu2019approbationu00a0etu00a0deu00a0favoriser la participationu00a0de ses salariu00e9su00a0pouru00a0du00e9ployeru00a0ses actions.u00a0Cela favorise u00e9galement le sentiment du2019appartenance des collaborateurs. Gagnant pour tout le monde, nonu202f?u00a0 u00a0 Des actions continues pour unu00a0engagement progressifu00a0u00a0 Cela prend du temps avant de pouvoir engager toute sau00a0population. Du2019ailleurs, aucune entreprise ne peut ru00e9ellement affirmer engager 100%u00a0 deu00a0ses collaborateurs.u00a0En moyenne,u00a0Seuls 15 %***u00a0des gens sont impliquu00e9s dans la stratu00e9gie RSE de leur bou00eete.u00a0Accepter quu2019une infime partie sera sensibilisu00e9e et actrice de sau00a0du00e9marcheu00a0est du00e9ju00e0 un bel objectif.u00a0 Nexeo, et ce, depuis sa cru00e9ation, a placu00e9u00a0non seulementu00a0lu2019humain au cu0153ur de son ADN, maisu00a0mu00e8ne une politique RSEu00a0engagu00e9e, en tu00e9moignent nos diffu00e9rentesu00a0labu00e9lisations.u00a0Suite u00e0u00a0la cru00e9ation de notre comitu00e9 RSEu00a0composu00e9 de volontaires (membres du staff et consultants) etu00a0aux nombreuses actions que nous menons depuis des annu00e9es, nous avons du00e9cidu00e9, cette annu00e9e, du2019organiser un vu00e9ritable temps fort de sensibilisation u00e0 lu2019occasion de la Semaine Europu00e9enne du Du00e9veloppement Durable 2021. u00a0 Du2019ateliersu00a0ludiquesu00a0en soiru00e9e jeu zu00e9ro du00e9chet, lesu00a0Nexu00e9ensu00a0serontu00a0invitu00e9s u00e0 ru00e9flu00e9chir, u00e0 leuru00a0rythme,u00a0autour des enjeux du du00e9veloppement durableu00a0durant les 3 prochaines semaines.u00a0Et afin deu00a0favoriser lu2019implication du2019un maximum deu00a0nos collaborateurs, nousu00a0avons, justement,u00a0fait le pariu00a0de la gamificationu202f!u00a0Du 27 septembre au 08u00a0octobre,u00a0ilsu00a0pourront se du00e9fier via un challenge inter-entrepriseu00a0gru00e2ce u00e0 lu2019applicationu00a0OuiLive. Deu00a0leurs connaissances autour de 4u00a0grandsu00a0thu00e8mesu00a0(mobilitu00e9 douce, dou00a0itu00a0yourself,u00a0u00e9co-gestesu00a0et protection)u00a0tout en gagnant des points via des dessins, des jeux,u00a0du sportu2026u00a0Ceu00a0challengeu00a0est lu2019occasion de parler du2019un enjeux sociu00e9tal majeuru202ftout en su2019amusantu202f: la protection des ocu00e9ansu202f!u00a0 u00a0   u00a0 u00a0Bien que fastidieux u00e0 mettre en place dans certaines entreprises, le jeu reste un moyen fabuleux pour fu00e9du00e9rer ses collaborateurs. Aujourdu2019hui de nombreux outils sont u00e0 dispositions, u00e0 diffu00e9rents tarifs pour engager et amuser ses u00e9quipes. Mais il convient de commencer par le commencementu202f: la du00e9finition et la diffusion du2019une stratu00e9gie claire aupru00e8s de ses cibles internes et externes.u00a0 Pour en savoir plus sur toutes nos actions et nos engagements envers le Global compact, rendez-vous sur notre COP 2021.u00a0     *u00a0La Responsabilitu00e9 Sociu00e9tale des Entreprises est, selon la Commission Europu00e9enne, u00abu202flu2019intu00e9gration volontaire par les entreprises de pru00e9occupations sociales et environnementales u00e0 leurs activitu00e9s commerciales et leurs relations avec leurs parties prenantes u00bb. **u00a0https://blog.calexa-group.com/enjeux-rse-engagement-collaborateur *** https://www.ladn.eu/entreprises-innovantes/marques-engagees/chiffres-cles-rse-developpement-durable/,post_date:2021-09-20 14:27:54,post_excerpt:,post_parent:0,post_status:publish,post_title:Stratu00e9gie RSEu202f:u00a0Comment lier interactivitu00e9 et engagement au sein de lu2019entrepriseu202f?u00a0,post_type:post,slug:strategie-rse%e2%80%af-comment-lier-interactivite-et-engagement-au-sein-de-lentreprise%e2%80%af,inline_featured_image:0,_edit_lock:1633618900:25,_edit_last:9,_yoast_wpseo_content_score:30,_yoast_wpseo_primary_category:191,lm_post_views_count:266,entity:,_entity:field_5c13af641c820,_oembed_869e55487a958da7dc190554f6f18f87:,_oembed_time_869e55487a958da7dc190554f6f18f87:1632140881,_thumbnail_id:10130,post_date_gmt:2021-09-20 12:27:54,comment_status:open,ping_status:open,post_p word:,post_name:strategie-rse%e2%80%af-comment-lier-interactivite-et-engagement-au-sein-de-lentreprise%e2%80%af,to_ping:,pinged:,post_modified:2021-09-20 14:45:46,post_modified_gmt:2021-09-20 12:45:46,post_content_filtered:,guid:https://www.nexeo.group/blog/?p=10117,menu_order:0,post_mime_type:,comment_count:0,filter:raw,status:publish},{ImageCl :Timber\Image,PostCl :Timber\Post,TermCl :Timber\Term,object_type:post,custom:{inline_featured_image:0,_edit_lock:1633619030:25,_edit_last:1,_yoast_wpseo_content_score:30,entity:,_entity:field_5c13af641c820,_yoast_wpseo_primary_category:207,lm_post_views_count:316,_thumbnail_id:10107},id:10092,ID:10092,post_author:21,post_content:Le digital est synonyme de constante u00e9volution. Technologies et pratiques doivent su2019adapter pour offrir toujours plus de performances en un minimum de temps. Certaines entreprises u00e9tant encore trop rigides pour rivaliser avec la concurrence, de nouvelles solutions mu00e9thodologiques apparaissent pour fluidifier et valoriser lu2019ensemble des activitu00e9s. Ces alternatives prennent par exemple la forme du DevOps, nouvelle approche dans le domaine du management. Quelles sont les caractu00e9ristiques fondamentales du DevOps ? Quelles stratu00e9gies su2019avu00e8rent gagnantes pour les entreprises ?   Comment le DevOps aide-t-il les entreprises ? Le DevOps consiste en un ensemble de bonnes pratiques u00e0 mettre en u0153uvre entre les u00e9quipes Etudes et Exploitation, dans le but de ru00e9duire le temps de lancement du2019un produit ou du2019un service. Il est question ici du2019une u00e9volution naturelle des mu00e9thodes Agile. Le terme u00abu00a0DevOpsu00a0u00bb est en ru00e9alitu00e9 la contraction de deux expressionsu00a0: du00e9veloppement (Dev) et opu00e9rations (Ops). Lu2019objectif u00e9tant de ru00e9unir les personnes, les processus ainsi que les technologies dans un but communu00a0: fournir de la valeur aux clients en continu u2013 et accrou00eetre dans le mu00eame temps la valeur de lu2019entreprise. Pour les entreprises du00e9sireuses du2019adopter un ensemble de nouvelles pratiques afin de rendre leurs produits plus performants et plus fiables, le DevOps est une voie essentielle u00e0 emprunter. Une ru00e9cente enquu00eate du00e9voile ainsi que pru00e8s de 74u00a0% des entreprises ont adoptu00e9 le DevOps en 2021, soit deux fois plus quu2019en 2016 [1]. Le DevOps au secours des entreprises Cette mu00e9thodologie ru00e9invente la culture du2019entreprise. Elle permet la coordination et la collaboration des ru00f4les, faisant auparavant lu2019objet du2019un cloisonnement trop important. Des u00e9quipes en lien avec le du00e9veloppement, les opu00e9rations informatiques ou lu2019ingu00e9nierie qualitu00e9 et su00e9curitu00e9 sont du00e9sormais amenu00e9es u00e0 travailler ensemble et u00e0 se coordonner. Une approche dynamique au service du client Les entreprises choisissant du2019adopter DevOps sont du2019abord et avant tout u00e0 la recherche du2019une approche dynamique orientu00e9e client. Elles peuvent du00e8s lors constater un regain de performance, ainsi quu2019une collaboration et une productivitu00e9 amu00e9lioru00e9es. 43u00a0% des entreprises interrogu00e9es dans le cadre de lu2019u00e9tude menu00e9e par RedGate affirment ainsi que leur organisation a connu une croissance supu00e9rieure ou u00abu00a0conforme aux attentesu00a0u00bb. 63u00a0% estiment u00e9galement que lu2019approche DevOps a permis du2019accrou00eetre leur productivitu00e9[2]. Pour ru00e9sumer, une culture du2019entreprise fondu00e9e sur DevOps et pleinement opu00e9rationnelle permet du2019impliquer davantage chaque ru00f4le dans les diffu00e9rentes phases de planification, de du00e9veloppement, de livraison et du2019exploitation. Ru00e9sultatu00a0: un gain du2019organisation et de productivitu00e9 pour tous.   Quelles sont les stratu00e9gies du DevOpsu00a0? La mise en place du2019une mu00e9thodologie DevOps au sein de lu2019entreprise ne suffit pas u00e0 garantir son efficacitu00e9. Cu2019est pourquoi il est essentiel pour les entreprises de ru00e9flu00e9chir du00e8s le du00e9part u00e0 la mise en place minutieuse du2019indicateurs clu00e9s de performance (ou KPI). De cette fau00e7on, on identifie mieux les opportunitu00e9s du2019optimisation. Pour mesurer lu2019efficacitu00e9 du DevOps, on retrouve une multitude du2019indicateurs (du00e9lais du2019exu00e9cution, fru00e9quence de du00e9ploiement, taux du2019u00e9chec, etcu2026). Une bonne stratu00e9gie DevOps doit idu00e9alement reposer sur quelques grands principesu00a0: Adopter du00e8s le du00e9part une approche u00abu00a0clientu00a0u00bb. Tenir compte de ses retoursu00a0: gru00e2ce u00e0 cet axe de ru00e9flexion, les correctifs et les mises u00e0 jour sur les logiciels ou applications web du00e9veloppu00e9es se font plus rapidement. Avoir une vue du2019ensemble sur les projets de du00e9veloppementu00a0: de cette fau00e7on, on stimule le travail du2019u00e9quipe en ociant les diffu00e9rents du00e9partements de lu2019entreprise. Les profils les plus polyvalents sont encouragu00e9s. Optimiser les cou00fbtsu00a0: durant cette u00e9tape, les diffu00e9rentes u00e9quipes travaillent en synergie pour amu00e9liorer la rapiditu00e9 de mise en u0153uvre du produit ou du service, en nu2019oubliant pas du2019apporter les amu00e9liorations nu00e9cessaires. Procu00e9der u00e0 lu2019automatisation de certaines tu00e2ches.   Stratu00e9gie du2019adoption et modu00e8les du2019u00e9volutions Pour faciliter son adoption en interne, plusieurs mu00e9thodes et principes peuvent u00eatre mises en place. Parmi ceux-ci, on retrouve notammentu00a0: Le cadre mu00e9thodologie Scrum, une du00e9marche de gestion de projet consistant u00e0 mettre le client au centre de lu2019u00e9quipe en charge des du00e9veloppements. Scrum se du00e9finit comme un u00abu00a0frameworku00a0u00bb, cu2019est-u00e0-dire un ensemble de ru00e9unions, du2019outils et de ru00f4les aidant les u00e9quipes u00e0 collaborer. Kanbanu00a0: cette mu00e9thode du00e9veloppu00e9e par lu2019entreprise Toyota vise avant tout u00e0 u00e9quilibrer la production avec la demande, de maniu00e8re u00e0 mieux ru00e9pondre aux besoins du client et gagner ainsi en rentabilitu00e9. Agileu00a0: cette mu00e9thodologie proche-parente du DevOps permet de gagner en ru00e9activitu00e9, par lu2019entremise de ru00e9unions quotidiennes avec prise en compte immu00e9diate et continue des retours clients.   Quelles sont les mu00e9thodes Agile les plus utilisu00e9es ? Parmi les mu00e9thodes agiles les plus utilisu00e9es, on distingue la mu00e9thode Scrum, utilisu00e9e par 56u00a0% des personnes interrogu00e9es. Viennent ensuite les mu00e9thodes Scrum/XP Hybrid (10u00a0%) et Custom XP (8u00a0%).[3]   Pour voir plus loin, on pourra u00e9galement se ru00e9fu00e9rer aux atouts du2019une stratu00e9gie de du00e9veloppement DevOps dans le cadre de lu2019adoption du Cloud en entreprise. Le Cloud est un instrument permettantu00a0de gagner en rapiditu00e9 et flexibilitu00e9 tout en ru00e9duisant les cou00fbts de du00e9veloppement et du2019exploitation des logiciels. Il pru00e9sente de nombreux atouts dans le cadre du DevOps et permet, par exemple, de : Gu00e9rer simplement lu2019infrastructure (IaaS) ; Du00e9ployer rapidement des applications (PaaS) et logiciels (SaaS) ; Manipuler les composants du2019infrastructure via le code (Infra as Code), de lu2019IoT ou encore du BigData.   On retiendra trois points essentiels pour choisir les bons outils DevOps en mu00eame temps que lu2019architecture Cloud la plus pertinenteu00a0: yser les besoins de lu2019entreprise (quel Cloud choisir - IaaS, PaaS ou SaaS, quels sont les services indispensables - Stockage, authentification, notification, etc..) Constituer attentivement lu2019u00e9quipe DevOps Du00e9finir les outils DevOps les mieux adaptu00e9s selon le besoin de l'application et le type de Cloud choisi, afin de faciliter la mise en place de processus du2019automatisation complets u00e0 chaque u00e9tape du projet.   u00a0DevOps et Cloud : une combinaison gagnante Une u00e9tude de CA Technologies[4] du00e9montre lu2019efficacitu00e9 de cette combinaison. La preuve en quelques chiffresu00a0: 129u00a0% de performance supplu00e9mentaire des du00e9ploiements applicatifsu00a0; Du00e9ploiements 2,6 fois plus rapides; 109u00a0% du2019amu00e9lioration de la qualitu00e9 des logiciels du00e9veloppu00e9su00a0; 108u00a0% du2019amu00e9lioration de lu2019expu00e9rience client.   Le DevOps est une solution du2019avenir pour les entreprises u00e0 la recherche de solutions du2019automatisation et du2019orchestration des projets. Autrefois strictement ru00e9servu00e9e aux du00e9veloppeurs, cette discipline su2019u00e9tend du00e9sormais aussi au reste de lu2019entreprise. Vous souhaitez en savoir plus u00e0 ce sujet ? Nous vous accompagnons sur vos projets de transformation digitale et la mise en place de vos stratu00e9gies. Contactez-nous !     [1] https://www.zdnet.fr/actualites/l-adoption-du-devops-a-presque-double-en-cinq-ans-acceleree-par-la-crise-39918665.htm [2] https://www.zdnet.fr/actualites/l-adoption-du-devops-a-presque-double-en-cinq-ans-acceleree-par-la-crise-39918665.htm [3] https://www.developpez.com/actu/83258/L-adoption-des-methodes-agiles-en-forte-progression-selon-les-resultats-d-une-etude-menee-par-VersionOne/ [4] https://www.itpro.fr/devops-et-cloud-cles-performance-21992/,post_date:2021-09-10 14:09:44,post_excerpt:,post_parent:0,post_status:publish,post_title:DevOps : quelles stratu00e9gies adopter pour urer son succu00e8s dans le Cloud ?,post_type:post,slug:devops-quelles-strategies-adopter-pour- urer-son-succes-dans-le-cloud,inline_featured_image:0,_edit_lock:1633619030:25,_edit_last:1,_yoast_wpseo_content_score:30,entity:,_entity:field_5c13af641c820,_yoast_wpseo_primary_category:207,lm_post_views_count:316,_thumbnail_id:10107,post_date_gmt:2021-09-10 12:09:44,comment_status:open,ping_status:open,post_p word:,post_name:devops-quelles-strategies-adopter-pour- urer-son-succes-dans-le-cloud,to_ping:,pinged:,post_modified:2021-09-13 12:49:41,post_modified_gmt:2021-09-13 10:49:41,post_content_filtered:,guid:https://www.nexeo.group/blog/?p=10092,menu_order:0,post_mime_type:,comment_count:0,filter:raw,status:publish},{ImageCl :Timber\Image,PostCl :Timber\Post,TermCl :Timber\Term,object_type:post,custom:{inline_featured_image:0,_edit_lock:1634138375:21,_edit_last:9,_yoast_wpseo_content_score:30,entity:,_entity:field_5c13af641c820,_yoast_wpseo_primary_category:193,lm_post_views_count:379,_oembed_e544a73af234a13746fc5328fe4dcef0:{{unknown}},_oembed_798f5b5b185dcedde603cdedbcd9d0ad:{{unknown}},_thumbnail_id:10099,_wp_old_date:2021-09-07},id:10081,ID:10081,post_author:15,post_content:Contexte Bien que le secteur financier se soit appuyu00e9 depuis beaucoup plus longtemps que du2019autres secteurs sur les technologies de lu2019information et de la communication (les u00abu00a0TICu00a0u00bb), il a plutu00f4t subi quu2019anticipu00e9 la ru00e9volution numu00e9rique du XXIe siu00e8cle. Il en a ru00e9sultu00e9 une phase de rattrapage rapide, avec une croissance de la digitalisation dans les institutions financiu00e8res qui a entrau00eenu00e9 en parallu00e8le une croissance de leur exposition aux risques inhu00e9rents aux nouvelles technologies. Des cyberattaques de 2017 contre les banques franu00e7aises aux ru00e9actions des autoritu00e9s de supervision europu00e9ennes, puis des ru00e9gulateurs, ces derniu00e8res annu00e9es ont mis en u00e9vidence une augmentation en volume et en dangerositu00e9 des risques liu00e9s aux TIC u2026 et un accroissement identique des exigences de su00e9curitu00e9 ociu00e9es. Du cu00f4tu00e9 des exigences ru00e9glementaires, on notera ainsi en : 2017 : les lignes directrices de lu2019EBA sur lu2019externalisation vers des fournisseurs de services en nuage 2018 : le ru00e8glement du00e9lu00e9guu00e9 de PSD2 sur lu2019authentification forte et les normes su00e9curisu00e9es de communication 2019 : les lignes directrices, toujours de lu2019EBA, sur la gestion des risques liu00e9s aux TIC et u00e0 la su00e9curitu00e9 2020 : les lignes directrices de lu2019ESMA sur lu2019externalisation vers des fournisseurs de services en nuage u2026 avec un peu de retard sur sa collu00e8gue 2021 : la modification de lu2019arru00eatu00e9 du 3 novembre sur le contru00f4le interne du risque informatique Juillet 2021 : la notice ACPR sur la gestion des cyber-risques dans le secteur de lu2019 urance Juillet 2021 : la notice ACPR sur la gestion du risque informatique dans les secteurs de la banque, des services de paiement et des services d'investissement Et enfin, la proposition de ru00e8glement sur la ru00e9silience opu00e9rationnelle numu00e9rique du secteur financier, dont on attend (avec impatience) la validation par le Parlement et le Conseil Arrivu00e9 parmi les derniers de la longue file de risques inclus dans exigences ru00e9glementaires, le risque liu00e9 aux TIC bu00e9nu00e9ficie de lu2019expu00e9rience des ru00e9gulateurs. Quu2019il su2019agisse de la gestion des risques opu00e9rationnels (u00e9valuation en fru00e9quence et su00e9vu00e9ritu00e9, u00e9valuation de lu2019efficacitu00e9 des palliatifs), de la gestion des risques liu00e9s u00e0 lu2019externalisation ( yse pru00e9alable, exigences contractuelles, suivi des indicateurs, ru00e9versibilitu00e9), ou de pures problu00e9matiques de su00e9curitu00e9 (cryptage, redondance), les textes ru00e9glementaires les plus ru00e9cents montrent clairement une mau00eetrise issue du retour des expu00e9riences p u00e9es. Les u00e9tablissements se trouvent donc, une fois nu2019est pas coutume, devant des exigences ru00e9glementaires pleines de bon sens, dont la mise en place pru00e9sente une vu00e9ritable amu00e9lioration de la mau00eetrise des risques, plutu00f4t quu2019une u00e9niu00e8me couche de contraintes sans ru00e9elle valeur ajoutu00e9e. Importance des systu00e8mes de TIC dans la finance Pour comprendre pourquoi les ru00e9gulateurs du monde financier su2019intu00e9ressent soudain de beaucoup plus pru00e8s aux risques TIC, il faut comprendre u00e0 quel point les u00e9tablissements sont devenus du00e9pendants de leurs systu00e8mes informatiques, tant des applications historiques que des nouvelles technologies. La montu00e9e en puissance des systu00e8mes de TIC dans la finance est en phase avec la montu00e9e en puissance de l'informatique et du numu00e9rique dans son ensembleu00a0: des activitu00e9s commerciales sophistiquu00e9es u00e0 la gestion des clients, toutes les u00e9tapes reposent du00e9sormais sur des systu00e8mes informatiques. Registres distribuu00e9s, robots-conseillers ou RPA font les gros titres, mais ne doivent pas couvrir le fait que le reporting le plus u00e9lu00e9mentaire ou les transactions financiu00e8res quotidiennes sont traitu00e9es par des systu00e8mes informatiques beaucoup plus critiques. Importance des systu00e8mes historiques L'automatisation ayant fait ses preuves, de nombreuses initiatives ont u00e9tu00e9 lancu00e9es pour amu00e9liorer le taux d'automatisation dans les institutions financiu00e8res. Le trading algorithmique est un exemple d'automatisation bu00e9nu00e9ficiant de l'u00e9volution des infrastructures de marchu00e9. Google a montru00e9 ce que l'automatisation pouvait apporter en automatisant la gu00e9nu00e9ration de revenus u00e0 partir de la publicitu00e9, ce qui a motivu00e9 de nombreux projets de marketing. En termes de productivitu00e9, lu2019automatisation des opu00e9rations permet au personnel de se concentrer sur les exceptions et les du00e9cisions u00e0 valeur ajoutu00e9e. Cependant, cela a mis en u00e9vidence le concept de dette technologique, ou00f9 les systu00e8mes et infrastructures existants peuvent limiter la mesure dans laquelle un processus peut u00eatre automatisu00e9. La consu00e9quence directe de la croissance de lu2019automatisation est la montu00e9e en puissance des FinTechs. La plupart essaient d'utiliser des technologies plus efficaces que celles des institutions financiu00e8res pour optimiser des processus spu00e9cifiques. Cependant, la plupart du00e9pendent encore de l'infrastructure des services financiers, qui a u00e9tu00e9 construite au fil des du00e9cennies par les institutions financiu00e8res et nu2019est pas nu00e9cessairement compatible. Interdu00e9pendance des systu00e8mes Un exemple typique du2019interconnectivitu00e9 est la chau00eene d'actions initiu00e9e u00e0 partir d'un paiement. Par exemple, les activitu00e9s transactionnelles sur les marchu00e9s financiers nu00e9cessitent un accu00e8s aux marchu00e9s, aux courtiers, la capacitu00e9 de calculer les prix, d'envoyer des confirmations aux systu00e8mes internes et u00e0 ceux des contreparties, de gu00e9nu00e9rer les reportings ru00e9glementaires, etc. Les activitu00e9s de paiement par cartes doivent, elles, gu00e9rer des flux aller-retour du2019informations, du2019interrogations et du2019autorisations, ainsi que le chiffrement de bout en bout. Ceci implique de nombreuses u00e9tapes qui, pour u00eatre automatisu00e9es, ne sont pas visibles par la plupart des acteurs. Cependant, des du00e9faillances dans un maillon de la chau00eene peuvent affecter l'ensemble du processus, chez plusieurs acteurs simultanu00e9ment. L'indisponibilitu00e9 ou la simple perte de performances des systu00e8mes utilisu00e9s affectent gravement les opu00e9rations. En particulier dans les activitu00e9s de paiement, le temps nu00e9cessaire pour complu00e9ter une opu00e9ration est un u00e9lu00e9ment critique. Ainsi, quel que soit le degru00e9 du2019innovation, il n'y a pas d'exemple de nouvel acteur sans une infrastructure technologique solide. Du00e9pendance aux donnu00e9es Les donnu00e9es sont la pierre angulaire des services financiers. Les conditions des pru00eats sont du00e9cidu00e9es en fonction des donnu00e9es des contreparties et de leur environnement, les investissements sont ru00e9alisu00e9s en fonction des donnu00e9es des marchu00e9s en essayant d' yser les u00e9volutions potentielles, les nouveaux produits sont lancu00e9s u00e0 partir des espu00e9rances de du00e9veloppement issues des donnu00e9es marketing. Post-acquisition, tous les clients sont surveillu00e9s gru00e2ce aux donnu00e9es de leurs opu00e9rations et la comparaison avec leurs pairs. Pour ru00e9pondre u00e0 ces besoins, toute une industrie s'est du00e9veloppu00e9e au cours des derniu00e8res du00e9cennies. Des noms tels que Bloomberg, Factset, Markit ou Reuters sont familiers car du00e9ju00e0 utilisu00e9s pour fournir des indices sur de nombreux aspects de l'u00e9conomie. Les bourses qui n'abritent plus de salles de marchu00e9 sont devenues de puissants fournisseurs de donnu00e9es (NYSE TEchnologies, ICE Data Services ...). En outre, certains fournisseurs se consacrent u00e0 la gestion des donnu00e9es, car au sein des organisations, l'utilisation de donnu00e9es est souvent gu00e9ru00e9e de maniu00e8re incru00e9mentale, entrau00eenant des surcou00fbts et parfois une diminution de l'intu00e9gritu00e9 des donnu00e9es. La cru00e9ation et la maintenance d'une source de donnu00e9es fiable est une tu00e2che complexe pour les grandes organisations. La donnu00e9e su2019est u00e9galement invitu00e9e lu00e0 ou00f9 le papier ru00e9gnait en mau00eetreu00a0: GED, OCR, signature u00e9lectronique. La digitalisation des contrats fait reposer lu2019u00e9difice juridique des u00e9tablissements sur les systu00e8mes de donnu00e9es, lu00e0 ou00f9 le scan de do ents pru00e9sentait autrefois une double su00e9curitu00e9. Il en ru00e9sulte un besoin de nouveaux acteurs, comme les tiers de confiance certifiu00e9s, et la nu00e9cessitu00e9 de cadrer et de tracer les processus du2019approbation afin du2019u00e9viter une jurisprudence basu00e9e sur la du00e9fiance des systu00e8mes. Du00e9pendance aux tiers Comme nous venons de le voir, les compu00e9tences en matiu00e8re de TIC deviennent tru00e8s spu00e9cialisu00e9es, et les u00e9tablissements financiers peuvent difficilement toutes les internaliser. Ils ont donc un besoin croissant de recours u00e0 la prestation. L'utilisation du cloud computing est en augmentation et fait l'objet d'une attention ru00e9glementaire spu00e9cifique. Cependant, il s'agit d'un aspect de la du00e9lu00e9gation d'une partie de l'infrastructure u00e0 des tiers, alors que lu2019externalisation peut aller jusquu2019u00e0 lu2019ensemble des mu00e9tiers de lu2019informatique. Lu2019externalisation mu00e9tier est pertinente en particulier pour les s structures, qui du fait de la concurrence ont besoin de se recentrer sur leur cu0153ur de mu00e9tier, et cherchent u00e0 externaliser au maximum les fonctions non opu00e9rationnelles. Mais pas seulement. Les initiatives ru00e9glementaires ou les contraintes du marchu00e9 ont parfois augmentu00e9 le besoin de puissance de calcul. Solvabilitu00e9 II ou FRTB sont deux exemples qui nu00e9cessitent de modifier le nombre de machines exu00e9cutant des calculs avec toute la connectivitu00e9 ociu00e9e. Dans ce cas, s'appuyer sur des entreprises spu00e9cialisu00e9es capables de du00e9ployer rapidement des capacitu00e9s de traitement et de fournir des garanties de gestion et de mise u00e0 niveau est une du00e9cision tru00e8s tentante. L'ensemble de l'infrastructure en tant que service (IaaS) est une industrie u00e0 part entiu00e8re avec les services financiers comme clients prisu00e9s. Une extension naturelle de l'infrastructure est le logiciel. Le du00e9veloppement, la maintenance et la mise u00e0 niveau d'un systu00e8me informatique est une tu00e2che complexe. Le du00e9bat sur Buy vs Build (choix du2019acheter un progiciel externe ou de du00e9velopper en interne) dure depuis longtemps, et penche de plus en plus vers le choix externe. Et ce choix est de plus en plus multi-acteurs. Au lieu du2019un fournisseurs externe et du2019un service informatique interne, on trouve maintenant une couche de du00e9veloppeurs spu00e9cialisu00e9s, qui adaptent des progiciels complexes en du00e9veloppant des fonctionnalitu00e9s spu00e9cifiques requises par les clients. Dans le pire des cas, ces caractu00e9ristiques spu00e9cifiques ont changu00e9 le progiciel u00e0 tel point u00a0que les mises u00e0 niveau ont u00e9tu00e9 rendues difficiles. Une solution a donc u00e9tu00e9 de du00e9lu00e9guer la gestion du progiciel pour s' urer qu'il serait maintenu par le fournisseur ou le du00e9veloppeur, y compris des mises u00e0 niveau en temps opportun. Identification des risques liu00e9s aux TIC Apru00e8s cet aperu00e7u de lu2019u00e9tendue de lu2019exposition des u00e9tablissements aux TIC et u00e0 leurs acteurs, il est aisu00e9 de comprendre pourquoi la gestion des risques liu00e9s aux TIC est devenue un enjeu majeur de la gestion des risques dans les u00e9tablissements. De tru00e8s spu00e9cialisu00e9s par le p u00e9 (relations avec les fournisseurs de cloud, exigences de PCA), les textes ru00e9glementaires se sont adaptu00e9s u00e0 cette complexitu00e9 et couvrent aujourdu2019hui la plupart des risques identifiables. Du00e9finition Tout comme les risques opu00e9rationnels, les risques liu00e9s aux TIC ont la particularitu00e9 de comprendre aussi bien des risques issus de failles internes que de menaces externes. La du00e9finition des risques liu00e9s aux TIC et u00e0 la su00e9curitu00e9 dans les lignes directrices de lu2019EBA est la suivante : Risque de perte du00e9coulant du2019une violation de la confidentialitu00e9, du2019une du00e9faillance de lu2019intu00e9gritu00e9 des systu00e8mes et des donnu00e9es, de lu2019inadu00e9quation ou de lu2019indisponibilitu00e9 des systu00e8mes et des donnu00e9es, ou de lu2019impossibilitu00e9 de modifier les technologies de lu2019information dans un du00e9lai et pour des cou00fbts raisonnables, lorsque lu2019environnement ou les exigences mu00e9tiers changent. Cela inclut les risques de su00e9curitu00e9 du00e9coulant de processus internes insuffisants ou de du00e9faillance de ces processus, ou bien du2019u00e9vu00e9nements externes, tels que des cyberattaques ou une su00e9curitu00e9 physique insuffisante Les cyberattaques sont toujours plus nombreuses, notamment depuis que le travail u00e0 distance, gu00e9nu00e9ralisu00e9 par la pandu00e9mie, a du00e9clenchu00e9 une augmentation des flux externes de donnu00e9es, et plus ru00e9cemment depuis que la France a u00e9tu00e9 montru00e9e du doigt comme lu2019un des pays les plus laxistes en matiu00e8re de cybersu00e9curitu00e9. Il su2019agit aussi du risque le plus visible par le public. Cependant, la du00e9finition montre bien que la cybersu00e9curitu00e9 est loin d'u00eatre la seule pru00e9occupation en matiu00e8re de risques TIC. En effet, dans les u00e9tablissements financiers, de nombreux systu00e8mes critiques fonctionnent en permanence, qu'ils soient ou non accessibles de l'extu00e9rieur. Pour le bon du00e9roulement des activitu00e9s, les problu00e8mes de disponibilitu00e9 des systu00e8mes ou d'intu00e9gritu00e9 des donnu00e9es sont tout aussi importants, plus fru00e9quents, et peuvent avoir des consu00e9quences tout aussi du00e9sastreuses et cou00fbteuses que les attaques externes. Typologies de risques Les lignes directrices de lu2019EBA, reprises en grande partie par le projet de ru00e8glement, ont ainsi cl u00e9 les risques TIC en cinq catu00e9goriesu00a0: Disponibilitu00e9 et continuitu00e9 Intu00e9gritu00e9 des donnu00e9es Su00e9curitu00e9 Risques liu00e9s aux changements Risques liu00e9s aux externalisations Cette segmentation peut avoir des chevauchements (changement cru00e9ant des problu00e8mes d'intu00e9gritu00e9 des donnu00e9es, u00e9vu00e9nements de su00e9curitu00e9 affectant la disponibilitu00e9 des systu00e8mesu2026) mais fournit un point de du00e9part qui rejoint de nombreuses demandes ru00e9glementaires. Elle met u00e9galement en lumiu00e8re les sources de risques les moins visibles (risque de ru00e9gression, manque de contru00f4le des prestations externes). Lu2019u00e9tendue des risques considu00e9ru00e9s est encore plus visible lorsque lu2019on entre dans le du00e9tail de chacun du2019entre euxu00a0: La disponibilitu00e9 et la continuitu00e9 couvrent tous les aspects du maintien des systu00e8mes en conditions de fonctionnement ainsi que les actions de restauration de ces systu00e8mes lorsqu'ils sont compromis. Toutes les entitu00e9s financiu00e8res maintiennent des sites de sauvegarde u00e0 partir desquels elles peuvent exu00e9cuter leurs applications lorsque leurs sites principaux sont compromis. Avec la complexitu00e9 croissante des systu00e8mes, garantir que ces sites peuvent remplir leur objectif doit u00eatre testu00e9 ru00e9guliu00e8rement. Les tests complets doivent idu00e9alement garantir que les systu00e8mes fonctionnent, que toutes les donnu00e9es sont accessibles en amont et en aval et que les utilisateurs peuvent faire fonctionner les systu00e8mes. Les tests de continuitu00e9 sont complexes. Pour u00eatre pleinement convaincant sur les volumes de production, certains tests sont nu00e9cessaires pour prouver qu'ils peuvent gu00e9rer une pu00e9riode typique, au moins une journu00e9e complu00e8te. Cette u00ab lecture en direct u00bb signifie la commutation du systu00e8me en direct sur le site de sauvegarde et nu00e9cessite une planification tru00e8s minutieuse pour garantir que le test n'impacte pas directement la production. La su00e9curitu00e9 est un domaine spu00e9cifique avec des compu00e9tences et des u00e9quipes du00e9diu00e9es. Les cyberattaques prennent le plus souvent plusieurs semaines u00e0 pru00e9parer avec divers test du2019accu00e8s via le phishing, des vulnu00e9rabilitu00e9s d'infrastructure ou des faiblesses d'organisations tru00e8s spu00e9cifiques. Cependant, une fois qu'une intrusion a eu lieu, le but de l'attaquant est gu00e9nu00e9ralement de ne pas u00eatre du00e9tectu00e9 pour avoir le temps de mettre en place des u00e9lu00e9ments supplu00e9mentaires de son attaque. Le CSIRT (Computer Security Incident Response Team) doit u00eatre vigilant pour ru00e9agir aux intrusions suffisamment rapidement pour s' urer que les dommages sont limitu00e9s ou que les zones compromises sont su00e9paru00e9es du reste de l'organisation. L'une des difficultu00e9s de la surveillance de la su00e9curitu00e9 est qu'elle doit s'appliquer u00e0 de nombreux types d'accu00e8s diffu00e9rents depuis des aspects tru00e8s techniques de l'infrastructure (ru00e9seau, serveursu2026) jusqu'au fonctionnement interne d'applications spu00e9cifiques ou00f9 la configuration et la gestion des accu00e8s peuvent cru00e9er des combinaisons complexes u00e0 surveiller. La gestion du changement est souvent considu00e9ru00e9e comme l'une des principales activitu00e9s des u00e9quipes informatiques, car les systu00e8mes u00e9voluent constamment. Mais le changement peut u00eatre u00e0 l'origine d'incidents tru00e8s cou00fbteux. L'incident du2019Euronext en octobre 2020 est nu00e9 de ce qui u00e9tait pru00e9vu comme une migration standard. Avec l'augmentation de la connectivitu00e9 des systu00e8mes et l'u00e9volution constante, les tests de continuitu00e9 et de non-ru00e9gression sont cruciaux. Cependant, il est difficile de couvrir tous les cas possibles, de mu00eame que de reproduire le volume sous lequel les systu00e8mes sont pru00e9vus pour fonctionner. Cela explique que les tests et l' urance qualitu00e9 peuvent repru00e9senter plus d'un quart du budget informatique. L'importance d'amu00e9liorer la qualitu00e9 et la rapiditu00e9 du du00e9veloppement est primordiale et a gu00e9nu00e9ru00e9 de nombreuses initiatives, de l'automatisation des tests u00e0 l'u00e9mergence de DevOps pour de nombreuses institutions. L'intu00e9gritu00e9 des donnu00e9es peut u00eatre du00e9crite comme l' urance de l'exactitude et de la cohu00e9rence des donnu00e9es tout au long de leur cycle de vie. L'importance des donnu00e9es est difficile u00e0 ignorer car pratiquement toutes les institutions se sont tournu00e9es vers lu2019 yse m ive de donnu00e9es pour suivre leurs activitu00e9s, connau00eetre leurs clients, yser les informations de marchu00e9s ou du00e9velopper leurs activitu00e9s. Les exigences ru00e9glementaires, telles que BCBS 239 ou le RGPD, ont u00e9galement apportu00e9 leur lot de contraintes concernant la mau00eetrise des donnu00e9es. La gouvernance des donnu00e9es et la cru00e9ation de golden sources est devenue cruciale u00e0 la fois pour maintenir lu2019intu00e9gritu00e9 des donnu00e9es au sein des systu00e8mes et pour ru00e9duire les cou00fbts d'exploitation. Avec d'innombrables entru00e9es de donnu00e9es dans une vaste architecture informatique et la nu00e9cessitu00e9 de mau00eetriser les cou00fbts des fournisseurs, les problu00e9matiques de donnu00e9es ont engendru00e9 des besoins de structuration croissants. Enfin, la mau00eetrise des risques liu00e9s u00e0 l'externalisation vise u00e0 couvrir les risques gu00e9nu00e9ru00e9s par le recours u00e0 des prestataires dans diverses situations. Cela peut aller de l'impact d'un processus entiu00e8rement externalisu00e9 u00e0 la consu00e9quence d'une seule activitu00e9 spu00e9cialisu00e9e, voire u00e0 un simple du00e9veloppement commandu00e9 en externe. L'utilisation de solutions basu00e9es sur le Cloud implique u00e9galement la mau00eetrise de tous les risques ci-dessus. Que ce soit dans le cas du2019applications externalisu00e9es ou du2019hu00e9bergement en cloud, le risque de changement est partiellement gu00e9ru00e9 par le fournisseur, mais la responsabilitu00e9 reste chez lu2019u00e9tablissement. La gestion du risque d'externalisation doit donc u00eatre proportionnu00e9e au risque. Elle peut aller de la formalisation du2019obligations contractuelles gu00e9nu00e9rales u00e0 une commande et un suivi tru00e8s pru00e9cis entre lu2019u00e9tablissement et ses prestataires, jusquu2019u00e0 la mise u00e0 disposition du2019un environnement spu00e9cifique sous contru00f4le de lu2019u00e9tablissement. Evaluation des impacts La difficultu00e9 d'u00e9valuer les impacts des risques liu00e9s aux TIC est que l'origine de la plupart des risques est identifiu00e9e par les u00e9quipes informatiques alors que les impacts affectent principalement les utilisateurs. Malheureusement, la communication entre les deux communautu00e9s reste difficile dans la plupart des cas. Certains utilisateurs n'ont pas une compru00e9hension ez claire des systu00e8mes impliquu00e9s dans leurs activitu00e9s pour se rendre compte de la du00e9pendance de leurs opu00e9rations u00e0 l'u00e9gard de ceux-ci. Ce n'est guu00e8re surprenant u00e9tant donnu00e9 la difficultu00e9 que mu00eame les professionnels de l'informatique ont u00e0 u00e9valuer les interdu00e9pendances entre systu00e8mes. L'u00e9valuation des interdu00e9pendances est encore plus difficile lorsque des tiers interviennent dans les processus. Pour couvrir le risque du2019un ensemble interconnectu00e9, les u00e9tablissements et les ru00e9gulateurs ont du00fb p er au concept de ru00e9silience opu00e9rationnelle. Pour illustrer la nu00e9cessitu00e9 de cette du00e9marche, examinons la mesure d'impact sur une occurrence de risque liu00e9 aux TIC selon diffu00e9rentes sources. Evaluation interne D'un point de vue purement informatique, la plupart des systu00e8mes peuvent u00eatre reconstruits en un temps limitu00e9 et souvent bien estimu00e9. Ru00e9installer un systu00e8me complet u00e0 partir d'un nouveau matu00e9riel, en utilisant une copie de sauvegarde ru00e9cente, u00e9quivaudra au cou00fbt du matu00e9riel, des licences logicielles potentielles et du temps des diffu00e9rentes u00e9quipes informatiques susceptibles d'u00eatre impliquu00e9es. La connexion du systu00e8me u00e0 ses nombreuses sources de donnu00e9es plausibles et aux systu00e8mes en aval nu00e9cessitera des tests supplu00e9mentaires. La taille et la ru00e9activitu00e9 des u00e9quipes auront un impact car plusieurs u00e9quipes spu00e9cialisu00e9es disponibles instantanu00e9ment et capables de travailler ensemble successivement sont plus cou00fbteuses qu'une seule u00e9quipe gu00e9nu00e9raliste. Ce cou00fbt est gu00e9nu00e9ralement une fraction des montants impliquu00e9s dans l'utilisation des systu00e8mes des institutions financiu00e8res, qu'il s'agisse du montant transfu00e9ru00e9 depuis un systu00e8me de paiement, gu00e9nu00e9ru00e9 par une activitu00e9 de trading ou susceptible d'u00eatre perdu suite u00e0 une indisponibilitu00e9 prolongu00e9e. En comparant les cou00fbts de retour u00e0 lu2019activitu00e9 avec les revenus issus de l'utilisation des systu00e8mes et les consu00e9quences des pannes sur le ru00e9sultat financier total, le du00e9partement informatique peut budgu00e9ter les ressources de backup et de retour u00e0 la normale. Evaluation systu00e9mique Cependant, la perte u00e9valuu00e9e u00e0 ce stade est gu00e9nu00e9ralement sous-estimu00e9e. Une u00e9valuation des risques devrait u00e9galement prendre en compte d'autres impacts tels que la perte de confiance des clients et des dommages u00e0 la marque, qui sont plus difficiles u00e0 estimer. Sur le plan financier, les amendes contractuelles ou ru00e9glementaires pour manquement aux obligations devraient u00e9galement u00eatre prises en considu00e9ration. Par exemple, lu2019indisponibilitu00e9 d'un systu00e8me pour une activitu00e9 de trading ou de paiement peut conduire au non-respect du2019obligations contractuelles entrau00eenant des consu00e9quences importantes. Cu00f4tu00e9 marchu00e9s, des systu00e8mes comme SWIFT imposent des obligations strictes et pru00e9voient gu00e9nu00e9ralement des sanctions lorsqu'elles ne sont pas remplies. Cu00f4tu00e9 retail, une du00e9faillance des systu00e8mes de paiement peut avoir un impact du2019image immu00e9diat par le biais des ru00e9seaux sociaux. Les contrats avec les gros vendeurs pru00e9voient donc u00e9galement des performances cibles orties de sanctions. Enfin, si les contrats des systu00e8mes commerciaux pru00e9voient des sanctions financiu00e8res, des systu00e8mes comme Target2 ou CHAPS sont sous la supervision directe des banques centrales, et les violations peuvent rapidement attirer l'attention des superviseurs. Limitation des impacts L'un des aspects de la solution consiste u00e0 se concentrer sur la continuitu00e9 informatique. Si toutes les consu00e9quences de la du00e9faillance du2019un systu00e8me sont difficiles u00e0 u00e9valuer, avoir des processus de sauvegarde et de ru00e9tablissement rapide est la solution la plus simple pour faire face u00e0 la plupart des problu00e8mes. L'importance de la continuitu00e9 informatique est gu00e9nu00e9ralement du00e9finie par un objectif de processus de ru00e9cupu00e9ration (RPO) et un objectif de temps de ru00e9cupu00e9ration (RTO). Les applications critiques ont gu00e9nu00e9ralement un RPO du00e9fini u00e0 0. Cela signifie que la ru00e9cupu00e9ration permettra au processus d'u00eatre restauru00e9 sans perdre aucune u00e9tape. Par exemple, aucune transaction n'est perdue lors du p age u00e0 la solution de sauvegarde. De mu00eame, le RTO du00e9finit un temps auquel le systu00e8me est censu00e9 u00eatre u00e0 nouveau disponible. Malheureusement, les u00e9tablissements financiers majeurs sont susceptibles d'avoir des centaines d'applications avec un RPO de 0 ou un RTO court (quelques heures). Cet objectif reste donc atteignable dans le cas du2019un incident ponctuel, sur une application qui nu2019en impacte pas du2019autres, mais devient inatteignable en cas de dysfonctionnement m if, les ressources nu00e9cessaires pour urer la restauration complu00e8te dans les temps impartis u00e9tant exorbitantes. Du2019autres considu00e9rations peuvent venir impacter la capacitu00e9 de restauration. Par exemple, si une partie d'un processus repose sur un systu00e8me avec des attentes moindres, l'ensemble du processus pourrait u00eatre affectu00e9 par le fait que ce systu00e8me ne soit pas restauru00e9 dans le mu00eame laps de temps. La nu00e9cessitu00e9 est donc de s' urer que le processus informatique est considu00e9ru00e9 comme un tout. Cette approche u00e9tend l'u00e9valuation d'impact d'un systu00e8me u00e0 un processus. Cependant, elle nu2019est efficace que lorsque lu2019ensemble des participants sont sollicitu00e9s dans la pru00e9paration des plans de ru00e9tablissement. Or, aujourdu2019hui encore, cette responsabilitu00e9 reste trop souvent du ressort des services informatiques. Mu00eame si les clients internes et les principaux clients externes sont pris en compte, dans la plupart des cas, cela se fait sans u00a0 yse de bout en bout. Espu00e9rons que les derniers textes ru00e9glementaires, qui exigent une information, voire une participation, de lu2019ensemble des acteurs concernu00e9s dans les projets informatiques, permettront du2019amu00e9liorer cet aspect de la pru00e9vention des risques. Actions pru00e9ventives et correctrices Afin de pru00e9venir les risques liu00e9s aux TIC, les derniers textes ru00e9glementaires vont bien au-delu00e0 de la simple continuitu00e9 des systu00e8mes. Dans les lignes directrices de lu2019EBA et le projet de ru00e8glement, on trouve ainsi des exigences concernant : La formation La connaissance des processus et des systu00e8mes liu00e9s La do entation La su00e9curitu00e9 Le contru00f4le interne La collecte et lu2019 yse des incidents Le reporting Si depuis plusieurs annu00e9es les u00e9tablissements ont commencu00e9 u00e0 sensibiliser leurs employu00e9s u00e0 la pru00e9vention des cyberattaques (phishing, virus, chevaux de Troie, etc.), les nouvelles exigences couvrent la sensibilisation aux risques informatiques de toute nature, la formation aux ru00e8gles de pru00e9vention des risques et une formation plus approfondie u00e0 la su00e9curitu00e9. A lu2019instar des formations sur la lutte anti-blanchiment, les ru00e9gulateurs imposent u00e9galement une fru00e9quence au moins annuelle de formation, ainsi quu2019une formation spu00e9cifique des dirigeants effectifs. Mu00eame pour les u00e9tablissements bien u00e9quipu00e9s dans ce domaine, le changement de pu00e9rimu00e8tre et lu2019obligation de fru00e9quence, qui induit une obligation de suivi, devrait nu00e9cessiter quelques ajustements. Pour du2019autres, ce sera lu2019occasion de renforcer un axe de pru00e9vention bien nu00e9cessaire. La grande nouveautu00e9 apportu00e9e par les textes est lu2019exigence du2019une cartographie des processus pru00e9alable u00e0 la cartographie des systu00e8mes. En effet, pour u00e9viter le silotage des directions informatiques et opu00e9rationnelles, les ru00e9gulateurs exigent que la criticitu00e9 des opu00e9rations soit du2019abord u00e9valuu00e9e cu00f4tu00e9 mu00e9tier, avec toutes les interactions liu00e9es, puis seulement u00e9tendue aux systu00e8mes qui les sous-tendent. Cette volontu00e9 de transversalitu00e9 se retrouve u00e9galement dans les exigences de pilotage de projets, ou00f9 lu2019ensemble des acteurs concernu00e9s, et spu00e9cifiquement les acteurs mu00e9tier, ont une obligation de participation active. Cerise sur le gu00e2teau, les lignes directrices EBA comme le projet de ru00e8glement incluent spu00e9cifiquement dans ces exigences les EUC (End User Computing, ou applications bureautiques utilisu00e9es par les opu00e9rationnels sans p er par le du00e9partement informatique). Et dans ce cas, lu2019effort sera inversu00e9, avec lu2019obligation pour les opu00e9rationnels du2019inclure de du00e9partement informatique dans leurs projets. Lu2019obligation de do entation est u00e9galement renforcu00e9e, puisquu2019elle couvre lu2019ensemble des processus de pru00e9vention et de du00e9tection des risques liu00e9s aux TIC. Du cadre de gestion des risques aux processus projet, en p ant par la charte SSI, les codes source, le recensement des externalisations ou la cartographie des risques, les ru00e9gulateurs exigent une formalisation complu00e8te des ressources liu00e9es au TIC. Celle-ci couvre aussi bien les processus amont (cartographies, recensement, procu00e9dures, contractualisation) quu2019aval (incidents, plans du2019action, reporting). La partie su00e9curitu00e9 couvre des u00e9lu00e9ments cl iques qui ne devraient pas changer les mesures du00e9ju00e0 en place dans la plupart des u00e9tablissementsu00a0: su00e9curitu00e9 physique, SIEM, authentification forte, limitation des comptes u00e0 privilu00e8ge, etc. Cu2019est sur la partie tests que le projet de ru00e8glement pru00e9voit des contraintes beaucoup plus exigeantesu00a0que les dispositions actuellement en place : obligation de tests approfondis au moins tous les trois ans ( ulu00e9e u00e0 lu2019exigence u00e0 un an de lu2019EBA pour les systu00e8mes critiques), par des testeurs accru00e9ditu00e9s, conduits selon des principes en attente de normes techniques des ESAs, le tout sous la surveillance des superviseurs. Bien que le ru00e8glement ne soit pas finalisu00e9, il est fortement recommandu00e9 aux u00e9tablissements de pru00e9voir rapidement un renforcement de cette activitu00e9, car lu2019exigence de certification des tiers risque de cru00e9er une raretu00e9 des ressources disponibles lors de la premiu00e8re ru00e9alisation de tests suivant la publication. Les textes nu2019introduisent pas du2019u00e9lu00e9ment particuliu00e8rement nouveau en matiu00e8re de contru00f4le interne par rapport u00e0 la gestion habituelle des risques opu00e9rationnels. Les risques liu00e9s aux TIC faisant partie des catu00e9gories bu00e2loises historiques, u00e0 une question de terminologie pru00e8s, les u00e9tablissements devront sans doute tout au plus ajuster leurs plans de contru00f4le existants. Le principe de faire suivre les risques par une fonction de contru00f4le indu00e9pendante est normalement intu00e9gru00e9 depuis longtemps par les u00e9tablissements, de mu00eame que lu2019intervention de lu2019audit interne. Le principe de correction et de plans du2019actions, formalisu00e9 dans le ru00e8glement, nu2019introduit pas non plus du2019idu00e9es radicalement nouvelles. Pour que les nouveaux textes soient gu00e9rables par les u00e9tablissements, il fallait au moins un u00e9lu00e9ment sur lequel les u00e9tablissements puissent cocher la case sans trop du2019effort. Le principe de collecte et du2019 yse des incidents ne devrait pas non plus beaucoup changer les habitudes enu00a0place. Ce type de suivi est en effet depuis longtemps au cu0153ur de lu2019u00e9valuation des performances, tant des services informatiques que des fournisseurs externes. Lu00e0 ou00f9 les textes introduisent des nouveautu00e9s, cu2019est en termes de reporting des incidents. En effet, lu00e0 ou00f9 habituellement lu2019informatique lavait son linge sale en familleu201d, les nouvelles ru00e9glementations exigent une remontu00e9e des incidents vers lu2019organe de direction, immu00e9diatement en cas du2019incident majeur, u2026 ainsi que vers les autoritu00e9s de supervision. Le RGPD est p u00e9 par lu00e0. Cette obligation de reporting ne se limite pas aux incidents. La volontu00e9 affichu00e9e des textes est du2019une part du2019impliquer bien plus directement les dirigeants effectifs et autres organes de direction dans la gestion des risques liu00e9s aux TIC, et du2019autre part de renforcer la supervision, les connaissances et lu2019implication des superviseurs dans ce domaine. Ainsi, un appu00e9tit au risque spu00e9cifique aux TIC doit u00eatre proposu00e9 u