Reserve Bank of India – Directives 2023 sur l’externalisation des services informatiques
Les entités réglementées (ER) indiennes exploitent largement les technologies de l’information (TI) et les services informatisés (ITeS) pour soutenir leurs modèles économiques, leurs produits et les services qu’elles offrent à leurs clients. Les ER sous-traitent également une part importante de leurs activités informatiques à des tiers, ce qui les expose à divers risques.
Afin de garantir une gestion efficace des risques associés, la Reserve Bank of India (RBI) a finalisé les Directives 2023 sur l’externalisation des services informatiques le 10 avril 2023, lesquelles entreront en vigueur à partir du 1er octobre 2023.
En tant que l’un des leaders de la sécurité des données, Thales permet aux ER de se conformer au contrôle de l’utilisation des services de cloud computing des Directives.
Présentation de la réglementation
Les Directives de la RBI sur l’externalisation des services informatiques ont prescrit 9 axes de contrôle, avec des annexes sur l’utilisation des services de cloud computing, l’externalisation du centre des opérations de sécurité et les services non considérés comme relevant de l’externalisation des services informatiques.
Quelles sont les entreprises soumises à ces Directives ?
- Les banques commerciales agréées, y compris les banques étrangères situées en Inde, les banques locales, les petites banques de financement et les banques de paiement, mais à l’exclusion des banques rurales régionales ;
- Les banques coopératives primaires (urbaines) à l’exclusion des banques coopératives urbaines de niveau 1 et 2 ;
- Les sociétés d’information sur le crédit (CIC) ;
- Les sociétés financières non bancaires (« NBFC ») ; et
- Les institutions financières indiennes (EXIM Bank, NABARD, NaBFID, NHB et SIDBI).
Quand les Directives seront-elles appliquées ?
La RBI a accordé aux ER un délai de douze mois à compter de la date de publication des Directives pour réexaminer leurs accords d’externalisation et se conformer aux exigences énoncées dans lesdites Directives si ces renouvellements doivent avoir lieu avant le 1er octobre 2023, et a offert un délai de trente-six mois à compter de la date de publication des Directives si leurs accords doivent être renouvelés après le 1er octobre 2023.
Définitions
- Externalisation matérielle des services informatiques
L’expression « externalisation matérielle des services informatiques » désigne tout service qui, « s’il est interrompu ou compromis, est susceptible d’avoir un impact significatif sur les activités commerciales de l’ER » ; ou « peut avoir un impact significatif sur les clients de l’ER en cas d’accès non autorisé, de perte ou de vol d’informations client. » - L’externalisation des services informatiques comprend l’externalisation des activités suivantes :
- Gestion, maintenance et support de l’infrastructure informatique (matériel, logiciel ou microprogramme) ;
- Solutions de réseau et de sécurité, maintenance (matériel, logiciel ou microprogramme) ;
- Développement, maintenance et test d’applications ; fournisseurs de services d’application (ASP), y compris les fournisseurs de commutateurs ATM ;
- Services et opérations liés aux centres de données ;
- Services de cloud computing ; et
- Gestion de l’infrastructure informatique et des services technologiques associés à l’écosystème des systèmes de paiement.
Les autres services n’étant pas considérés comme de l’externalisation de services informatiques ou figurant à l’annexe III sont considérés comme de l’externalisation de services financiers et ne sont pas couverts par les présentes Directives sur l’externalisation de services informatiques.
Conformité ICS
Thales aide les ER à se conformer aux Directives 2023 sur l’externalisation des services informatiques en répondant à deux des contrôles et à l’exigence relative à l’utilisation des services de cloud computing.
Les Directives | Solutions Thales |
|---|---|
Chapitre – VI : Gestion des risques | 17. Cadre de gestion des risques | |
(e) « …Les ER s’efforcent de garantir la préservation et la protection de la sécurité et de la confidentialité des informations client dont le fournisseur de services a la garde ou la possession… » (f) « l’ER reste responsable de la compréhension et du suivi de l’environnement de contrôle de tous les fournisseurs de services qui ont accès aux données, systèmes, enregistrements ou ressources de l’ER… » | La solution CipherTrust Data Security Platform est une suite intégrée de produits et de solutions de sécurité centrés sur les données qui unifient la découverte, la protection et le contrôle des données sur une seule plateforme. La solution CipherTrust Platform offre de multiples fonctionnalités de protection des données au repos dans les fichiers, les volumes et les bases de données. Parmi elles, citons :
Data Security Fabric offre une vue unifiée des données sur différentes plateformes, permettant l’audit des données relationnelles, NoSQL, mainframe, Big Data et entrepôts de données. |
(i) « … examiner et surveiller les processus de contrôle et les pratiques de sécurité du fournisseur de services en vue de la divulgation des failles de sécurité… » | CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) détecte les activités d’E/S (Entrée/Sortie) anormales, alerte ou bloque les activités malveillantes et empêche les rançongiciels de prendre le contrôle des points de terminaison et des serveurs. Imperva Data Security Fabric Threat Detection surveille l’accès et l’activité des données, offrant une visibilité permettant d’identifier les accès aux données à risque pour tous les utilisateurs, y compris les utilisateurs privilégiés. Elle fournit des alertes en temps réel, bloque les violations de politiques et permet de conserver les données de manière rentable pour les audits. |
Chapitre – X : Stratégie de sortie | |
b) « … la suppression/destruction sécurisée des données, du matériel et de tous les enregistrements (numériques et physiques), le cas échéant… » | CipherTrust Enterprise Key Management rationalise et renforce la gestion de clé dans les environnements cloud et d’entreprise, permettant aux ER de supprimer efficacement les informations chiffrées gérées par les CSP. |
Annexe – I | Utilisation des services de cloud computing | |
3. « La sécurité du cloud est une responsabilité partagée entre l’ER et le fournisseur de services cloud (CSP). Les ER peuvent se référer à certaines des meilleures pratiques en matière de sécurité du cloud pour mettre en œuvre les contrôles nécessaires… » | Les ER peuvent prendre le contrôle de la sécurité de leur cloud et en améliorer la visibilité grâce à la solution CipherTrust Cloud Key Management (CCKM) de Thales. La solution CCKM offre une vue unique aux utilisateurs du cloud natif, garantissant un gain de temps et des données. Elle prend en charge les cas d’utilisation « Bring Your Own Key » (BYOK) dans de multiples infrastructures cloud et applications SaaS. L’approche « Hold Your Own Key » (HYOK) renforce le contrôle des ER sur les clés de chiffrement, permettant une séparation claire des tâches et une délimitation explicite des responsabilités pour les activités de services cloud avec le CSP. |
6. Gestion des services cloud et considérations relatives à la sécurité a. Architecture des services et des technologies
| Thales propose des solutions intégrées de chiffrement et de gestion de clé pour protéger les applications basées dans le cloud pour les ER avec les approches BYOE et BYOK.
|
| Les modules matériels de sécurité (HSM) Luna de Thales fournissent aux entreprises un matériel dédié au contrôle des clés cryptographiques, offrant un environnement inviolable pour le traitement cryptographique sécurisé, la génération de clés et le chiffrement. |
| La solution CipherTrust Transparent Encryption Container Security offre des fonctionnalités de chiffrement, de contrôle d’accès et de journalisation des accès aux données à l’intérieur des conteneurs, afin que les entreprises puissent mettre en place des protections solides autour des données dans des environnements de conteneurs dynamiques. |
| La solution CipherTrust Enterprise Key Management est une appliance à haute disponibilité qui centralise la gestion des clés de chiffrement pour le Thales Data Security Portfolio et les solutions de chiffrement tierces. Elle gère les tâches du cycle de vie des clés, les certificats et les secrets, et propose des domaines multilocataires pour une sécurité accrue. |
b. Gestion des identités et des accès (IAM) | Les solutions de gestion des identités et des accès Thales OneWelcome limitent l’accès des utilisateurs internes et externes en fonction de leur rôle et du contexte.
|
Ressources associées
Autres réglementations clés en matière de protection et de sécurité des données
PCI HSM
MANDAT | EN VIGUEUR
La spécification PCI HSM définit un ensemble de normes de conformité de sécurité logiques et physiques pour les HSM, spécifiquement destinées au secteur des paiements. La certification de conformité à la spécification PCI HSM dépend du respect de ces normes.
DORA
RÉGLEMENTATION | EN VIGUEUR
Le règlement DORA vise à renforcer la sécurité informatique des entités financières afin de garantir la résilience du secteur financier en Europe face à l’augmentation du volume et de la gravité des cyberattaques.
Lois sur la notification des violations de données
RÉGLEMENTATION | EN VIGUEUR
Des exigences de notification en cas de violation de données ont été promulguées par des pays du monde entier suite à la perte d’informations personnelles. Elles varient en fonction des juridictions, mais comprennent presque toutes une clause de « clause d’exonération » (safe harbor).
GLBA
RÉGLEMENTATION | EN VIGUEUR
Le Gramm-Leach-Bliley Act (GLBA), également connu sous le nom de Financial Services Modernization Act (Loi sur la modernisation des services financiers) de 1999, exige des institutions financières qu’elles expliquent à leurs clients leurs pratiques en matière d’échange d’informations et protègent les données sensibles.