Les principales mesures à adopter portent sur la stratégie, l'identification, la mesure, l'évaluation, la limitation, la surveillance et les rapports de risques, ainsi que sur les systèmes de contrôle et d'audit interne.
La gestion des risques joue un rôle capital dans les processus de protection des données et de lutte contre la criminalité financière. À l'origine de la gestion des risques, de la pérennité des opérations, de la réduction des risques liés à l'externalisation, de la coopération avec les régulateurs, de la gestion et de la sécurité des données ainsi que de la confidentialité, la BaFin constitue l'autorité supérieure de supervision du secteur financier allemand. Les directives MaRisk (« Mindestanforderungen an das Risikomanagement » en allemand, traduction française : « Exigences minimales relatives à la gestion des risques ») sont une initiative de la BaFin visant à établir des exigences minimales en matière de conformité à la gestion des risques.
Les directives MaRisk s'appuient sur la section 25a (1) de la loi bancaire allemande (« Kreditwesengesetz », ou « KWG ») qui impose « des obligations organisationnelles particulières ; le pouvoir d'émettre des ordres ». La section 25a est intrinsèquement liée à l'article 88 de la directive 2013/36/UE qui décrit les structures de gouvernance interne requises pour encadrer les entités concernées du secteur des services financiers.
Qu'est-ce que la conformité MaRisk ?
Les directives MaRisk composent un texte réglementaire visant à encadrer la mise en œuvre d'une activité financière en Allemagne. Ces dernières se focalisent sur la réduction des risques liés aux activités du secteur financier en Allemagne et, dans la mesure où les institutions financières allemandes exercent leur activité sur le plan international, dans le monde entier.
Les directives MaRisk ont pour mission d'assurer le fonctionnement sûr et sécurisé ainsi que l'intégrité du système financier en Allemagne. Il s'agit d'un règlement administratif qui agit comme un « processus de contrôle et d'évaluation prudentiels (« Supervisory Review and Evaluation Process », ou « SREP ») » pour les banques concernées par le second pilier des accords de Bâle III.
Les directives MaRisk forment un cadre très complet applicable aux domaines présentant un risque financier en matière de gestion interne des risques et de ceux liés à l'externalisation. La BaFin supervise les entités concernées parmi lesquelles figurent les banques, les compagnies d'assurance et les valeurs mobilières.
Comment Akamai permet à une entreprise de se conformer aux directives MaRisk
Les directives MaRisk fournissent un cadre très complet pour réduire les risques liés aux activités d'une entité financière. La sécurisation de leur environnement contre les logiciels malveillants, l'hameçonnage et les accès non autorisés constitue un élément clé de ce dispositif. Les solutions de sécurité Akamai proposent des renseignements et offrent une protection de bout en bout destinée à protéger les données financières des violations et des expositions accidentelles. Ainsi, elles minimisent les risques pouvant survenir après les contrôles de cybersécurité des directives MaRisk. La plateforme de sécurité d'Akamai propose une sécurité dynamique nécessaire à l'application de principes Zero Trust à la protection des données de l'ensemble de la chaîne d'approvisionnement étendue. Akamai accompagne vos équipes de sécurité dans l'optimisation de l'efficacité et du retour sur investissement de vos placements en matière de sécurité. Akamai va bien au-delà de la détection traditionnelle des terminaux pour fournir une solution Zero Trust puissante dédiée à la sécurité et à la confidentialité des données.
Akamai propose :
- une plateforme de sécurité mondiale qui applique la sécurité Zero Trust avec une couverture complète de votre environnement informatique, IoT et OT
- une visibilité approfondie sur les actifs, les accès et les flux réseau
- une application granulaire de la politique de sécurité
L'histoire des directives MaRisk
Les directives MaRisk ont été publiées pour la première fois en décembre 2005. Elles ont vu le jour en parallèle du dispositif du Comité de Bâle sur le contrôle bancaire appelé Bâle II. Les principes de Bâle II, et maintenant de Bâle III, figurent dans la section 25a (1) de la loi bancaire allemande (« Kreditwesengesetz », ou « KWG ») et dans les directives MaRisk.
La BaFin a lancé l'initiative du dispositif MaRisk dans une volonté de regrouper les cadres de gestion des risques antérieurs en un seul et même cadre complet. La BaFin a par ailleurs élaboré ce dispositif dans le but de moderniser ces cadres plus spécifiques, et y a intégré les dispositions de l'accord de Bâle II et de la directive relative au secteur bancaire.
Depuis 2005, diverses modifications et nouvelles exigences ont été apportées. Voici les trois plus récentes :
- Les exigences techniques relatives à l'agrégation et à la mise à jour des données sur les risques mettent en évidence ceux liés à l'externalisation, par le biais d'une exigence supplémentaire portant sur un nouveau système central de gestion de l'externalisation. (Modification des directives MaRisk datant de 2017)
- La conformité des directives MaRisk avec celles de l'Autorité bancaire européenne (ABE) qui incluaient certains risques liés à la cybersécurité dans le domaine des technologies de l'information et de la communication (TIC). (Modification des directives MaRisk datant de 2021)
L'intégration des exigences relatives à la gestion des risques environnementaux, sociaux et de gouvernance (ESG) au cadre global de gestion des risques. La soumission des petites et moyennes banques et institutions financières à l'exigence du dispositif MaRisk relative à la surveillance de l'octroi de prêts et de crédits, conformément aux directives de l'ABE. (Modification des directives MaRisk datant de 2022 : septième et dernière version de ces dernières)
Les directives MaRisk et l'externalisation avec gestion des risques
Les attaques de la chaîne d'approvisionnement et les risques liés aux données ont largement motivé l'intégration d'une gestion rigoureuse des risques d'externalisation aux directives MaRisk. Les directives MaRisk AT 9 (« Exigences minimales relatives à la gestion des risques ») portant sur l'externalisation offre des conseils aux institutions financières qui souhaitent se conformer aux exigences réglementaires en matière d'externalisation de la section 25b de la loi bancaire allemande (« Kreditwesengesetz »). La loi bancaire allemande contraint les institutions financières à prendre des « mesures de précaution appropriées » pour prévenir les risques lors de l'externalisation de projets et de tâches.
Types d'organisations tenues de se conformer aux directives MaRisk
Le secteur financier n'a jamais connu une telle exposition aux risques : les inquiétudes autour de ce risque sont fondées puisque l'enquête menée par la Banque d'Angleterrerapporte que 79 % des personnes interrogées considèrent les cyberattaques comme le risque le plus important encouru par le système financier britannique. Les directives MaRisk visent à rectifier le tir grâce à un dispositif destiné au secteur bancaire et aux entreprises associées désirant réduire les risques liés à leurs activités.
Les banques et les directives MaRisk
Ces dernières années, les banques allemandes ont été touchées par des violations de données de grande ampleur comme la cyberattaque de 2022 visant la Deutsche Banket entraînant le vol de 60 Go de données clients. Les banques et autres entités du secteur financier relèvent de la loi bancaire allemande, de la BaFin et des directives MaRisk. Conformément aux directives MaRisk, les « Exigences de surveillance pour l'informatique dans les institutions financières », ou « Supervisory Requirements for IT in Financial Institutions », identifient les mesures que les banques doivent prendre pour se conformer aux exigences de sécurité du domaine de l'informatique. Par ailleurs, les directives MaRisk obligent les banques allemandes à sécuriser leurs flux de données, et l'une des dernières modifications apportées à cette réglementation prévoit l'ajout d'une mesure de sécurité pour le « home trading » (commerce intérieur) qui impose désormais un niveau minimum de sécurité informatique pour garantir la confidentialité des données. Les principes Zero Trust de moindre privilège imposent des contrôles d'accès à chaque connexion depuis un nouvel appareil, y compris aux connexions effectuées depuis un bureau à domicile.
Fournisseurs de services cloud des banques
En Allemagne, la chaîne d'approvisionnement des fournisseurs de services cloud qui collaborent avec le secteur bancaire est soumise à la réglementation MaRisk. Les fournisseurs de services cloud sont tenus de se conformer aux exigences de surveillance informatique pour veiller à ce qu'un client (banque ou autre institution financière) exerce un contrôle des risques conforme aux dites exigences. L'évaluation des risques vise à prouver la mise en place de mesures de gestion des risques liés à l'information, de sécurité de l'information et d'intervention en cas d'urgence, tout en démontrant leur conformité aux directives MaRisk, aux BAIT, ainsi qu'aux initiatives de la BaFin. Les contrats clients des fournisseurs de services cloud et informatiques prennent généralement ces évaluations en compte. Les fournisseurs de services cloud se doivent d'envisager des approches Zero Trust pour proposer des contrôles d'accès fiables au sein d'une architecture de services distribués.
Les directives MaRisk et les BAIT
Les institutions financières sont soumises à un ensemble très complet de réglementations en matière de gestion des risques prévues par les directives MaRisk et les BAIT, mais aussi à d'autres initiatives prises par la BaFin : en effet, la BaFin intervient à travers plusieurs dispositifs pour contrôler et gérer les risques au sein du secteur financier.
Les directives MaRisk et les BAIT (« Bankaufsichtliche Anforderungen an die IT », ou « Exigences de surveillance pour l'informatique dans les institutions financières ») sont des réglementations connexes. Les BAIT reprennent d'ailleurs les fondements des directives MaRisk. Les BAIT déterminent les ressources techniques et organisationnelles adaptées aux systèmes informatiques, notamment en matière de sécurité de l'information et de plans d'urgence dans le secteur financier. En 2021, les BAIT ont été mises à jour pour s'aligner à la version 6 des directives MaRisk.
La conformité aux BAIT implique aussi le respect des exigences des directives de l'ABE relatives à la gestion des risques liés aux TIC et à la sécurité (EBA/GL/2019/04) en vigueur depuis 2020. Face au nombre, à la complexité et au degré de gravité croissants des cybermenaces qui pèsent sur les institutions financières, l'ABE a établi ces directives. Ces dernières prennent aussi en considération l'interconnexion des banques.
La mise à jour des BAIT intègre deux nouveaux domaines :
- Sécurité de l'information opérationnelle : exigences en matière de surveillance et de contrôle de la sécurité de l'information.
- Gestion de la continuité des services informatiques : exigences minimales relatives à la gestion de la continuité des activités conformément aux directives MaRisk AT 7.3.
Les directives MaRisk 7.3 relatives à la « gestion de la continuité des activités » incluent la gestion de la défaillance des systèmes informatiques causée par des cyberattaques.
La BaFin veille à la cohérence des exigences de l'ABE, des BAIT et des directives MaRisk. Dans cette optique, la dernière version des directives MaRisk inclut le concept d'externalisation. La gestion des risques liés aux TIC est donc étendue aux fournisseurs de la chaîne d'approvisionnement du secteur financier.
Quelles solutions Akamai peuvent permettre à une entreprise de se conformer aux directives MaRisk ?
La série de réglementations établies par l'autorité allemande BaFin se recoupe dans de nombreux domaines, notamment en matière de protection des systèmes informatiques et des données. La gestion des risques est indispensable à une cybersécurité robuste. L'approche de la gestion des risques appliquée aux infrastructures et aux données financières repose sur la sécurisation des systèmes financiers. La suite de solutions d'Akamai dédiées à la lutte contre la fraude, aux tests réglementaires et à la sécurité vous fournit les outils dont vous avez besoin pour vous conformer aux directives MaRisk. La suite de solutions de sécurité primées d'Akamai comprend les fonctionnalités suivantes :
- Protection des applications et des API : prévenez les attaques par DDoS et protégez vos actifs.
- Akamai Account Protector : faites preuve de proactivité en identifiant et en bloquant les activités humaines frauduleuses et les piratages de compte en utilisant l'apprentissage automatique avancé, ainsi que les analyses comportementales et heuristiques de la réputation.
- Accès et autorisation : conformez-vous aux normes en toute simplicité grâce à une architecture Zero Trust.
Foire aux questions (FAQ)
MaRisk, ou « Minimum requirements for risk management » (« Exigences minimales relatives à la gestion des risques »), est un dispositif mis en place par l'Autorité fédérale de surveillance financière allemande (BaFin) pour encadrer la gestion de tous les risques importants rencontrés par les institutions financières en Allemagne.
Toutes les banques et institutions financières allemandes, dont les établissements de crédit, ont pour obligation de se conformer aux directives MaRisk. Indirectement, les directives MaRisk concernent aussi les fournisseurs de services cloud et ceux du secteur de l'informatique.
Pourquoi les clients choisissent-ils Akamai ?
Akamai est l'entreprise de cybersécurité et de Cloud Computing qui soutient et protège la vie en ligne. Nos solutions de sécurité leaders du marché, nos renseignements avancés sur les menaces et notre équipe opérationnelle internationale assurent une défense en profondeur pour protéger les données et les applications des entreprises partout dans le monde. Les solutions de Cloud Computing complètes d'Akamai offrent des performances à moindre coût sur la plateforme la plus distribuée au monde. Des grandes entreprises du monde entier font confiance à Akamai pour bénéficier de la fiabilité, de l'évolutivité et de l'expertise de pointe dont elles ont besoin pour développer leur activité en toute confiance.