En cas d’incident de sécurité, notre Force d’intervention Rapide est disponible 24h/24 et 7j/7

Garantissez votre conformité bancaire et assurez votre sécurité

FORMIND, qualifié PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) par l’ANSSI (équivalent au Centre Canadien pour la Cybersécurité), vous accompagne afin de développer votre sécurité et votre résilience TI tout en assurant votre conformité aux réglementations et normes relatives à la cybersécurité dans le secteur bancaire.

Contactez-nous

Expertise conformité bancaire

73 %

En 2022, le volume des attaques par dénis de service distribué ciblant les entreprises
financières a bondi de 22 % dans le Monde et de 73% en Europe.

Rapport du Financial Services Information Sharing and Analysis Center (FS-ISAC), janvier 2023

Renforcement des normes et réglementations cyber face à des menaces croissantes

Afin de lutter contre la cybercriminalité qui croit de façon exponentielle, l’encadrement réglementaire et les normes applicables à la sécurité informatique dans le secteur bancaire se sont fortement renforcés ces dernières années.

Ainsi, les entreprises du secteur financier doivent assurer leur conformité vis-vis des différentes réglementations, mais également vis-à-vis de normes et standards indispensables à leur fonctionnement.

Sur le plan canadien :

Le BSIF (Bureau du surintendant des institutions financières), organisme fédéral de supervision du secteur bancaire, a publié la ligne directrice E-21 – Résilience opérationnelle, qui impose aux institutions financières canadiennes d’identifier leurs fonctions critiques, de définir leur tolérance aux perturbations et de tester régulièrement leur capacité à répondre à des scénarios sévères. Cette démarche vise à garantir la continuité des activités face aux incidents majeurs, qu’ils soient d’origine technologique, humaine ou naturelle. Formind accompagne ses clients dans l’implémentation de ces exigences, de la cartographie des dépendances à la mise en œuvre de tests de résilience réalistes.

En complément, la ligne directrice B-13 – Gestion des risques technologiques et cybernétiques, en vigueur depuis janvier 2024, encadre la gouvernance des actifs technologiques et impose des exigences précises sur la gestion des vulnérabilités, la cybersécurité et les relations avec les fournisseurs TIC (Technologies de l’Information et des Communications – AWS, Microsoft, BELL, SAP, etc.). Grâce à ses experts en cybersécurité et en gouvernance, Formind soutient les institutions canadiennes dans la mise en conformité de leurs dispositifs techniques et organisationnels avec cette directive stratégique.

Sur les exigences spécifiques au domaine bancaire :

PCI-DSS (Payment Card Industry – Data Security Standard) est la norme de sécurité des données de l’industrie des cartes de paiement (Visa, Mastercard, JCB, Discover, American Express) qui s’applique à tous les acteurs de la chaîne monétique qui traitent, transmettent, manipulent et stockent des données de cartes de paiement.

La norme PCI-DSS, notamment au travers de sa dernière version 4.0, a pour objectif de protéger les utilisateurs finaux, mais aussi de tous les maillons de la chaîne monétique afin d’éviter les vols ou pertes de données bancaires. Le standard PCI-DSS est à suivre pour pouvoir traiter avec les émetteurs de carte : Visa, Mastercard, JCB, Discover, American Express.

Le réseau SWIFT (Society for Worldwide Interbank Financial Telecommunication) est une infrastructure mondiale de communication sécurisée utilisée par les institutions financières pour échanger des informations financières de manière standardisée. C’est le principal moyen par lequel les banques et autres entités du secteur financier communiquent et effectuent des transactions à l’échelle internationale. Sécuriser son infrastructure pour le réseau SWIFT, notamment au travers de son Customer Security Programme (CSP), est une mesure essentielle pour garantir la confidentialité, l’intégrité et la disponibilité des transactions financières.

Dans ce contexte, FORMIND vous accompagne sur l’ensemble des thématiques afin de vous assurer du respect des normes réglementaires et conserver la confiance de vos clients et parties prenantes.

Nos offres adaptables

FORMIND vous propose des offres adaptables qui vous accompagneront de manière complète, depuis l’évaluation de la maturité de votre entreprise jusqu’à la réalisation d’audits à blanc en conditions réelles, en passant par l’accompagnement à la mise en œuvre.

Évaluation de votre niveau de maturité

Nous analysons le contexte pour prendre en compte notre périmètre et nos spécificités, examinons les écarts et identifions les actions de remédiation. Nous élaborons ensuite une feuille de route intégrant les actions à mettre en œuvre et évaluons les charges afférentes. Enfin, nous restituons les résultats et réalisons une synthèse managériale.

Accompagnement à la mise en conformité

Nous définissons la gouvernance à mettre en œuvre, accompagnons sa mise en œuvre, pilotons le processus et constituons les indicateurs de suivi et de performance.

Audit à blanc

Nos experts réalisent des entretiens en « condition réelle », collectent et analysent des preuves pertinentes, examinent les écarts et identifions les actions de remédiation. Ensuite, nous rédigeons le rapport d’audit à blanc et restituons les résultats à travers une synthèse managériale.

Une équipe GRC pluridisciplinaire et des experts du domaine bancaire

• Formind compte des personnes dédiées aux sujets GRC, certifiées et disposant de multiples domaines d’expertise (gouvernance, résilience, intégration, analyse de risques, architecture, etc.).
• Des auditeurs spécialisés dans le domaine bancaire.

Des offres adaptables et des objectifs clairs permettant de répondre à vos besoins

• Formind est en mesure de vous proposer des offres sur mesure pour répondre à vos éventuels besoins spécifiques.
• Nos consultants, forts de leurs expertises et expériences, sont en mesure de s’adapter à vos objectifs, contraintes économiques, défis métier et ambitions de développement.

Une capitalisation de nos connaissances et expériences mises à votre service

• Des outils, méthodes et livrables types, véritables accélérateurs de nos accompagnements.
• Une vision globale de l’ensemble des pratiques et stratégies de mise en conformité de votre secteur d’activité.

Notre approche pour vous accompagner dans la réalisation de vos objectifs

image tablette pour référence client

Nos références clients

L’équipe CISO de notre client a lancé un projet de mise en conformité DORA. Formind a été sollicité pour réaliser les premières étapes de ce projet :

  • Un bilan de conformité
  • La définition d’une feuille de route de mise en conformité

Dans le cadre de la déclaration SWIFT, le client a souhaité :

  • Évaluer sa maturité (siège et filiales) au SWIFT CSCF
  • Identifier les points forts et les axes d’amélioration de l’ensemble des entités
  • Disposer de plans d’action pour remédier aux non-conformités
  • Réaliser les déclarations SWIFT
  • Définition de la stratégie de mise en conformité PCI DSS
  • Rédaction de la note de cadrage du projet
  • Assistance à la maîtrise d’ouvrage et pilotage du projet
  • Reporting au niveau du groupe

FAQ

Mon entreprise est-elle concernée par les directives E-21 et B-13 du BSIF ?

Les directives E-21 (Continuité des activités) et B-13 (Technologie de l’information et cybersécurité) s’appliquent à l’ensemble des institutions financières réglementées par le BSIF, telles que les banques, les sociétés d’assurances fédérales et certaines institutions de crédit.
Par ailleurs, si votre entreprise est un prestataire de services essentiels ou un fournisseur tiers technologique pour une institution réglementée, vous pourriez être indirectement concerné par les exigences contractuelles ou les obligations de conformité déléguées.

Pour une évaluation précise de votre exposition et de votre niveau de conformité aux attentes du BSIF, Formind peut vous accompagner à travers une analyse de maturité alignée sur les exigences E-21 et B-13, et vous aider à définir un plan d’action priorisé.

Les attentes détaillées des directives E-21 et B-13 : de quoi s’agit-il ?

Les directives E-21 et B-13 du BSIF vont au-delà de simples principes généraux : elles précisent des attentes opérationnelles concrètes et parfois exigeantes.
La directive E-21 définit les exigences en matière de gestion de la continuité des activités, incluant la gouvernance, la planification de reprise, les scénarios de crise, et les tests réguliers.
La directive B-13, quant à elle, détaille les normes relatives à la gestion des risques technologiques et cyber, incluant la surveillance des fournisseurs tiers, la détection des incidents, la réponse aux cybermenaces, ainsi que les exigences en matière de gouvernance, d’architecture, et de résilience des systèmes.
Ces directives s’accompagnent d’attentes documentaires précises, de cadres de gestion à démontrer et d’un suivi renforcé par le BSIF.
Formind vous aide à décoder ces exigences, à évaluer votre positionnement et à construire un plan de conformité réaliste et structurant.

Directives B-13 et E-21 : quelles règles priment en cas de chevauchement ?

Au Canada, lorsqu’une institution est soumise à la réglementation du BSIF, les directives B-13 (cybersécurité) et E-21 (continuité des activités) constituent des références prioritaires et structurantes, car elles émanent d’un organisme fédéral de supervision prudentielle.
Elles s’appliquent en priorité aux institutions financières de juridiction fédérale, même si d'autres cadres réglementaires (provinciaux, ISO, NIST, etc.) existent en parallèle.

Autrement dit, en cas de chevauchement ou de conflit d’exigences, les directives du BSIF prévalent dans leur champ d’application, car elles sont considérées comme cadres directeurs et peuvent faire l’objet de contrôles, examens et sanctions.

Formind vous accompagne dans l’analyse de conformité croisée, en tenant compte à la fois des exigences nationales et des standards internationaux pertinents pour votre organisation.

Que signifie le principe de proportionnalité dans le cadre des directives B-13 et E-21 ?

Le principe de proportionnalité, explicitement mentionné dans la directive B-13 du BSIF, implique que les institutions financières doivent appliquer les exigences en matière de cybersécurité et de gestion des risques technologiques en fonction de leur taille, de leur profil de risque global, ainsi que de la complexité et nature de leurs activités et services.

Autrement dit, une petite institution de crédit ne sera pas tenue au même niveau de formalisation qu’une grande banque systémique, mais elle devra tout de même démontrer qu’elle applique des mesures adaptées et justifiables par rapport à son exposition aux risques.

Ce principe est également sous-jacent à la directive E-21, dans l'approche de gestion de la continuité d’activité.

Formind vous accompagne dans l’interprétation de ce principe en vous aidant à définir un niveau de conformité proportionné mais robuste, cohérent avec les attentes du BSIF et la réalité opérationnelle de votre organisation.

Restons en contact

Nos experts vous accompagnent de manière permanente dans vos problématiques cyber. Une question ? Vous êtes au bon endroit et nous nous engageons à vous répondre sous 24h !

Nous contacter