En cas d’incident de sécurité, notre Force d’intervention Rapide est disponible 24h/24 et 7j/7

Garantissez votre conformité bancaire et assurez votre sécurité

FORMIND, qualifié PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) par l’ANSSI, vous accompagne afin de développer votre sécurité et votre résilience IT tout en assurant votre conformité aux réglementations et normes relatives à la cybersécurité dans le secteur bancaire.

Contactez-nous

Expertise conformité bancaire

73 %

En 2022, le volume des attaques par dénis de service distribué ciblant les entreprises
financières a bondi de 22 % dans le Monde et de 73% en Europe.

Rapport du Financial Services Information Sharing and Analysis Center (FS-ISAC), janvier 2023

Renforcement des normes et réglementations cyber face à des menaces croissantes

Afin de lutter contre la cybercriminalité qui croit de façon exponentielle, l’encadrement réglementaire et les normes applicables à la sécurité informatique dans le secteur bancaire se sont fortement renforcés ces dernières années.

Ainsi, les entreprises du secteur financier doivent assurer leur conformité vis-vis des différentes réglementations, mais également vis-à-vis de normes et standards indispensables à leur fonctionnement.

Sur le plan Européen :

Le règlement DORA (Digital Operational Résilience Act), auquel les établissements financiers devront être conformes en janvier 2025, vient renforcer les exigences en matière de risque IT notamment sur le volet résilience. Ce règlement vient également harmoniser un certain nombre de normes publiées par le régulateur européen (Autorité Bancaire Européenne) et certaines exigences issues de règlements existants pour l’ensemble des établissements financiers et leurs prestataires de service TIC (Technologie de l’Information et de la Communication).

Le RGPD (Règlement Général sur la Protection des Données) impose des obligations aux entreprises visant à protéger les informations personnelles des citoyens. Formind, au travers de ses offres et experts dédiés, vous accompagne afin d’assurer la sécurité

de toutes les données de vos utilisateurs tout au long de leur cycle de vie.

Enfin, la DSP2 (Directive sur les Services de Paiements 2) a été mise en application depuis 2018 dans un contexte de paiements en forte évolution avec notamment une forte hausse du niveau de la fraude et de l’arrivée de nouveaux acteurs : les tiers de services de paiements (TPP, Third Party Providers). Ainsi, ses deux principaux objectifs en matière de cybersécurité sont de :
– Systématiser l’utilisation du mécanisme d’authentification forte pour permettre de garantir une identification certaine de l’utilisateur.
– Standardiser et sécuriser les échanges d’informations par la mise en œuvre d’API.

Sur le plan national :

Que vous soyez un OIV (Organisme d’Importance Vitale) dans le cadre de la Loi de Programmation Militaire (LPM), un OSE (Organisme de Service Essentiel) dans le cadre de la directive NIS ou prochainement EI (Entité Importante) ou EE (Entité Essentielle), Formind dispose d’une équipe spécialisée en la matière et plus particulièrement sur le processus d’homologation à mettre en œuvre.

Sur les exigences spécifiques au domaine bancaire :

PCI-DSS (Payment Card Industry – Data Security Standard) est la norme de sécurité des données de l’industrie des cartes de paiement (Visa, Mastercard, JCB, Discover, American Express) qui s’applique à tous les acteurs de la chaîne monétique qui traitent, transmettent, manipulent et stockent des données de cartes de paiement.

La norme PCI-DSS, notamment au travers de sa dernière version 4.0, a pour objectif de protéger les utilisateurs finaux, mais aussi de tous les maillons de la chaîne monétique afin d’éviter les vols ou pertes de données bancaires. Le standard PCI-DSS est à suivre pour pouvoir traiter avec les émetteurs de carte : Visa, Mastercard, JCB, Discover, American Express.

Le réseau SWIFT (Society for Worldwide Interbank Financial Telecommunication) est une infrastructure mondiale de communication sécurisée utilisée par les institutions financières pour échanger des informations financières de manière standardisée. C’est le principal moyen par lequel les banques et autres entités du secteur financier communiquent et effectuent des transactions à l’échelle internationale. Sécuriser son infrastructure pour le réseau SWIFT, notamment au travers de son Customer Security Programme (CSP), est une mesure essentielle pour garantir la confidentialité, l’intégrité et la disponibilité des transactions financières.

Dans ce contexte, FORMIND vous accompagne sur l’ensemble des thématiques afin de vous assurer du respect des normes réglementaires et conserver la confiance de vos clients et parties prenantes.

Nos offres adaptables

FORMIND vous propose des offres adaptables qui vous accompagneront de manière complète, depuis l’évaluation de la maturité de votre entreprise jusqu’à la réalisation d’audits à blanc en conditions réelles, en passant par l’accompagnement à la mise en œuvre.

Évaluation de votre niveau de maturité

Nous analysons le contexte pour prendre en compte notre périmètre et nos spécificités, examinons les écarts et identifions les actions de remédiation. Nous élaborons ensuite une feuille de route intégrant les actions à mettre en œuvre et évaluons les charges afférentes. Enfin, nous restituons les résultats et réalisons une synthèse managériale.

Accompagnement à la mise en conformité

Nous définissons la gouvernance à mettre en œuvre, accompagnons sa mise en œuvre, pilotons le processus et constituons les indicateurs de suivi et de performance.

Audit à blanc

Nos experts réalisent des entretiens en « condition réelle », collectent et analysent des preuves pertinentes, examinent les écarts et identifions les actions de remédiation. Ensuite, nous rédigeons le rapport d’audit à blanc et restituons les résultats à travers une synthèse managériale.

Une équipe GRC pluridisciplinaire et des experts du domaine bancaire

• Formind compte 90 personnes dédiées aux sujets GRC certifiés et disposant de multiples domaines d’expertises (gouvernance, résilience, intégration, analyse de risque, architecture, etc.)
• Des auditeurs spécialisés dans le domaine bancaire

Des offres adaptables et des objectifs clairs permettant de répondre à vos besoins

• Formind est en mesure de vous proposer des offres sur-mesure pour répondre à vos éventuels besoins spécifiques.
• Nos consultants, à l’appui de leurs expertises et expériences, sont en mesure de s’adapter vos objectifs, contraintes économiques, défis métier et objectifs de développement.

Une capitalisation de nos connaissances et expériences mises à votre service

• Des outils, méthodes et livrables types véritables accélérateurs de nos accompagnements
• Une vision globale de l’ensemble des pratiques et stratégies de mise en conformité de votre secteur d’activité

Notre approche pour vous accompagner dans la réalisation de vos objectifs

image tablette pour référence client

Nos références clients

L’équipe CISO de notre client a lancé un projet de mise en conformité DORA. Formind a été sollicité pour réaliser les premières étapes de ce projet :

  • Un bilan de conformité
  • La définition d’une feuille de route de mise en conformité

Dans le cadre de la déclaration SWIFT, le client a souhaité : 

  • Évaluer sa maturité (siège et filiales) au SWIFT CSCF 
  • Identifier les points forts et les axes d’amélioration de l’ensemble des entités 
  • Disposer de plans d’action pour remédier aux non-conformités 
  • Réaliser les déclarations SWIFT  
  • Définition de la stratégie de mise en conformité PCI DSS 
  • Rédaction de la note de cadrage du projet 
  • Assistance à la maîtrise d’ouvrage et pilotage du projet 
  • Reporting au niveau du groupe 

FAQ

Mon entreprise est-elle éligible à la réglementation DORA (Réglementation sur la résilience opérationnelle numérique) ? 

L’ensemble des établissements financiers sont assujettis au règlement DORA. De plus, si votre entreprise est un prestataire des services dans le secteur de la finance, et que ces services dépendent de Technologies de l'Information et de la Communication (TIC), alors elle est également soumise à la réglementation DORA. Pour une évaluation précise, Formind est en mesure de vous accompagner dans une démarche d’analyse de maturité DORA.

Les textes de niveau 2 de DORA : de quoi s’agit-il ?

Les travaux de niveau 2 revêtent une importance particulière dans le contexte du règlement DORA, car ils prévoient la couverture de certains éléments critiques, notamment les normes techniques régissant les incidents informatiques et la classification des cybermenaces, les normes régissant la notification des incidents informatiques majeurs et des incidents cybers aux autorités, ainsi que les normes techniques régissant les dispositions contractuelles essentielles.

NIS 2 et DORA : quelle loi prime ?

Le règlement DORA stipule que ce dernier constitue "lex specialis" de NIS2. Cela signifie donc que DORA est un règlement spécifique qui prévaut sur la directive NIS2 qui est plus généraliste.

Qu’est-ce que le principe de proportionnalité implique ?

Le principe de proportionnalité implique que les institutions financières devront appliquer les exigences relatives à la gestion des risques liés aux technologies de l'information en prenant en compte leur taille, leur profil de risque global, ainsi que la nature, l'étendue et la complexité de leurs services, activités et opérations.

Restons en contact

Nos experts vous accompagnent de manière permanente dans vos problématiques cyber. Une question ? Vous êtes au bon endroit et nous nous engageons à vous répondre sous 24h !

Nous contacter