8.1
Les opérations informatiques doivent répondre aux exigences découlant de la mise en
œuvre de la stratégie commerciale et des processus commerciaux soutenus par les technologies
de l'information (voir AT 7.2 (1) et (2) MaRisk).
|
|
|
- |
8.2
Les composants des systèmes informatiques et leurs relations entre eux doivent être
gérés de manière appropriée, et les données d'inventaire enregistrées à cette fin
doivent être mises à jour régulièrement et selon les besoins. Les données d'inventaire
comprennent notamment :
|
|
|
- |
| Existence et utilisation prévue des composants du système informatique avec détails
de configuration pertinents (par exemple, version et niveau de patch)
|
Gestion entièrement automatisée de l'inventaire à tous les niveaux informatiques :
infrastructure, composants système, applications et terminaux utilisateurs (approche
full stack).
|
|
100%
 |
|
Pendant le processus d'enregistrement, les versions des systèmes d'exploitation, des
langages de programmation, des frameworks et des applications utilisés au moment de
l'enregistrement sont déterminées de manière entièrement automatique.
|
|
100%
|
|
Les données provenant de systèmes tiers, tels que la surveillance informatique et
réseau, la gestion des services informatiques, les fournisseurs de cloud et les applications
métier, peuvent être facilement intégrées et corrélées à l'aide de la topologie Versio.io.
|
|
100%
|
| Propriétaires de systèmes informatiques et de leurs composants |
Les informations spécifiques au client, telles que le propriétaire ou l'application,
peuvent être définies à l'aide de variables d'environnement et ainsi enregistrées
dans Versio.io. Les relations topologiques entre les actifs et les éléments de configuration
du paysage informatique enregistré permettent ensuite d'interroger des affectations
de contenu complexes. Cela permet, par exemple, de déterminer tous les composants
appartenant à une application (de haut en bas) ou toutes les applications exécutées
sur un ordinateur (de bas en haut).
|
|
100%
|
| Emplacement des composants du système informatique |
Les géolocalisations ou données de localisation peuvent être transférées à partir
de systèmes tiers, définies par des variables d'environnement ou déterminées par dérivation
à partir de l'adresse IP.
|
|
100%
|
| Liste des informations pertinentes sur les garanties et autres contrats d'assistance
(avec liens, le cas échéant)
|
Les contrats sous forme numérique (par exemple Microsoft 365) ou les paramètres clés
des contrats papier peuvent être importés ou enregistrés par Versio.io. Versio.io
offre un stockage des données à l'épreuve des audits qui permet de retracer chaque
statut et chaque modification d'un contrat tout au long de son cycle de vie.
Les données contractuelles importées peuvent être analysées en fonction de leur contenu
(attributs de données, filtres) et de leurs relations (topologie).
Toutes les données contractuelles peuvent être vérifiées en termes de plausibilité,
d'intégrité et de conformité. Toute violation est enregistrée de manière à pouvoir
être auditée et des notifications appropriées peuvent être envoyées.
|
|
100%
|
| Informations sur la date d'expiration de la période de soutien pour les composantes
des systèmes informatiques
|
Versio.io fournit toutes les informations relatives aux versions des produits matériels
et logiciels dans sa « base de données des versions et de l'end-of-life des produits
». À partir de ces informations, il est possible de générer des ensembles de règles
qui permettent de vérifier de manière entièrement automatisée les stratégies de publication
des produits spécifiques aux clients. Par exemple, il est possible de vérifier des
stratégies de publication telles que « dernière version », « dernier correctif »,
« en maintenance », « support fourni » ou « support à long terme ».
|
|
100%
|
| Exigences de protection pour les systèmes informatiques et leurs composants |
La première étape consiste à déterminer le niveau de protection requis à un niveau
conceptuel. Versio.io offre la possibilité d'opérationnaliser les exigences de protection
pour les opérations informatiques dans l'ensemble du paysage informatique.
Les exigences de protection peuvent être enregistrées sous forme de variables d'environnement
ou de balises sur les systèmes informatiques et leurs composants. Cela permet d'utiliser
les exigences de protection dans tous les scénarios de mise en œuvre ultérieurs (par
exemple, rapports, contrôles de conformité, répartition des coûts, etc.).
|
|
75%
 |
| Période d'indisponibilité acceptable des systèmes informatiques et perte maximale
tolérable de données.
|
Les fenêtres de maintenance définies à partir d'une large gamme de systèmes tiers
(ITSM, surveillance) peuvent être importées et stockées dans une base de données historique.
Les fenêtres de maintenance, y compris leurs relations topologiques avec les composants
informatiques, peuvent être analysées, évaluées et vérifiées. Cela permet, par exemple,
d'identifier les fenêtres de maintenance pendant les heures critiques ou sans heure
de fin.
|
|
50%
 |
8.3
Le portefeuille de systèmes informatiques doit être géré. Les systèmes informatiques
doivent être mis à jour régulièrement. Les risques liés à des systèmes informatiques
obsolètes ou qui ne sont plus pris en charge par le fabricant doivent être gérés (gestion
du cycle de vie).
|
Les systèmes informatiques sont enregistrés de manière entièrement automatique et
continue. Le cycle de mise à jour le plus court est actuellement de 1 minute. Cela
signifie que les données relatives à l'environnement informatique sont disponibles
dans Versio.io en temps quasi réel.
Les versions des systèmes d'exploitation, des composants système, des langages
de programmation, des technologies et des applications sont enregistrées. Chaque changement
de version est vérifié par rapport à la « base de données des versions et end-of-life
des produits » interne de Versio.io, conformément aux stratégies spécifiques du client,
telles que dernière version, dernier patch, support à long terme, produit en maintenance
et support.
|
|
100%
|
8.4
Les processus de modification des systèmes informatiques doivent être conçus et mis
en œuvre en fonction du type, de l'étendue, de la complexité et des risques encourus.
Cela vaut également pour les nouveaux achats ou remplacements de systèmes informatiques
et pour les améliorations liées à la sécurité (correctifs de sécurité). Les modifications
des systèmes informatiques comprennent également la maintenance des systèmes informatiques.
Voici quelques exemples de modifications :
|
|
|
- |
| Améliorations fonctionnelles ou corrections de bogues pour les composants logiciels |
Les améliorations fonctionnelles d'un système informatique consistent en des modifications
de configurations en plus du code logiciel. Elles concernent notamment les schémas
de bases de données, les configurations de fichiers (serveurs d'applications, web,
de messagerie ou de bases de données), les artefacts DevOps (configurations Docker
ou Kubernetes) et les configurations réseau (activation de segments de réseau et de
ports).
ports). Ces configurations peuvent être enregistrées et documentées de manière
entièrement automatique. Chacune de ces modifications peut à son tour être vérifiée
de manière entièrement automatique par rapport à une configuration cible, aux exigences
de sécurité et aux spécifications internes.
Les systèmes de surveillance informatique et de gestion des journaux sont généralement
utilisés pour analyser les causes des erreurs. Versio.io offre la détection des changements
comme source de données supplémentaire essentielle pour identifier les causes des
erreurs dans les opérations informatiques.
|
|
75%
|
| migrations de données |
Avec Versio.io Batch Job Monitoring, les entreprises peuvent enregistrer, contrôler
la qualité et optimiser l'exécution cyclique des processus quotidiens de sauvegarde
pour la migration des données, et ce de manière conforme aux exigences d'audit.
Les données enregistrées peuvent être vérifiées en termes de contenu afin de
garantir la gouvernance et la conformité. Vous pouvez ainsi être averti si une sauvegarde
a échoué ou si son temps d'exécution a considérablement changé par rapport aux exécutions
précédentes.
Pour garantir la qualité de la migration des données, les importateurs de données
génériques de Versio.io peuvent être utilisés pour déterminer et garantir l'exhaustivité
de la migration en fonction du nombre d'enregistrements de données et de l'exactitude
du contenu à l'aide de chiffres de contrôle (valeurs de hachage) par enregistrement
ou objet. L'analyseur de topologie Delta peut être utilisé pour détecter automatiquement
les différences entre les sources de données migrées et déclencher des alertes si
nécessaire.
|
|
50%
|
| Modifications des paramètres de configuration des systèmes informatiques |
La compétence principale de Versio.io réside dans la détection des changements et
leur post-traitement (vérification, allocation des coûts, surveillance des processus,
etc.).
Versio.io enregistre chaque modification de configuration de manière sécurisée. Cela
signifie que toutes les configurations sont disponibles pour l'utilisateur tout au
long du cycle de vie. Ceci est comparable à une sauvegarde ou à une gestion des versions
des configurations.
Toute modification de configuration peut être vérifiée de manière entièrement automatique
et selon des règles définies en fonction des exigences existantes en matière de gouvernance
et de conformité (sécurité, mises à jour des produits, spécifications internes, problèmes
de configuration, etc.).
|
|
100%
|
| Remplacement des composants matériels (serveurs, routeurs, etc.) |
La configuration des composants matériels remplacés sous forme de serveurs physiques,
systèmes de stockage, routeurs, appareils mobiles, etc. peut être collectée et documentée
de manière entièrement automatique.
Sur la base de l'analyse de la topologie delta, les configurations entre la dernière
configuration et le nouveau composant matériel remplacé peuvent être comparées afin
d'identifier les différences de configuration, par exemple.
The recorded configurations of the replaced hardware components can be
verified fully automatically in terms of governance and compliance as part of
the initial
recording and any subsequent configuration changes. This ensures compliance
with compliance
and security aspects (known security vulnerabilities, products without maintenance/support,
more recent product versions, internal specifications, valid SSL certificates,
open ports,
etc.).
|
|
75%
|
| Utilisation de nouveaux composants matériels |
La configuration des nouveaux composants matériels sous forme de serveurs physiques,
systèmes de stockage, routeurs, appareils mobiles, etc. peut être collectée et documentée
de manière entièrement automatique.
The newly recorded configurations of the hardware components can be
verified fully automatically in terms of governance and compliance during the
initial
recording and any subsequent configuration changes. This ensures compliance
with compliance
and security aspects (known security vulnerabilities, product without maintenance/support,
more recent product versions, internal specifications, valid SSL certificates,
open ports,
etc.).
|
|
75%
|
| Transfert des systèmes informatiques vers un autre site |
Lors du transfert de systèmes informatiques, il est essentiel de documenter l'état
actuel et de le comparer avec le système informatique migré afin de garantir une migration
stable et sans erreur.
L'inventaire des actifs et des configurations de Versio.io fournit toutes les configurations
actuelles de chaque composant du système informatique (VM, hôte, processus, services,
configurations, schéma de base de données, applications, etc.) sous forme de base
d'informations. De plus, les relations entre tous les composants du système informatique
sont fournies sous forme de topologie.
Sur la base de la topologie, il est possible de comparer le système informatique existant
(ACTUAL) et le système informatique migré jusqu'au niveau des attributs d'un sous-composant.
Cela permet de prouver que le système informatique a été restauré à l'identique sur
le nouvel emplacement. Des ajustements de filtre spécifiques au client peuvent être
configurés pour l'analyse delta de la topologie.
|
|
50%
|
8.5.
Les modifications apportées aux systèmes informatiques doivent être consignées de
manière ordonnée, documentées, évaluées en tenant compte des risques éventuels liés
à leur mise en œuvre, classées par ordre de priorité, approuvées et mises en œuvre
de manière coordonnée et sécurisée. Des processus appropriés doivent également être
mis en place pour les modifications urgentes des systèmes informatiques. Les mesures
suivantes, par exemple, permettent de garantir la mise en œuvre sécurisée des modifications
dans les opérations de production :
|
|
|
- |
| Analyse des risques liés aux systèmes informatiques existants (en particulier le réseau
et les systèmes informatiques en amont et en aval), également en ce qui concerne les
problèmes éventuels de sécurité ou de compatibilité, dans le cadre de la demande de
modification.
|
Les modifications détectées par Versio.io, par exemple au niveau des systèmes d'exploitation,
des technologies de processus, des serveurs d'applications, web ou de bases de données,
des configurations de routeurs, etc., peuvent être vérifiées au regard des failles
de sécurité informatique connues, des versions obsolètes ou des correctifs manquants,
de l'indisponibilité de la maintenance et du support des produits utilisés, ainsi
que des exigences internes en matière de continuité opérationnelle.
|
|
100%
|
| Test des modifications avant leur mise en service afin de détecter d'éventuelles incompatibilités
et problèmes de sécurité avec les systèmes informatiques existants
|
La compétence principale de Versio.io réside dans la détection des changements et
leur post-traitement. Cela signifie que non seulement les changements planifiés, mais
aussi les changements imprévus peuvent être détectés lors des tests avant la mise
en service. De plus, l'étendue des changements peut être contrôlée objectivement au
niveau opérationnel grâce à une comparaison delta entre les environnements de test
et de production.
Les modifications apportées aux systèmes d'exploitation et aux technologies de processus
détectées par Versio.io peuvent être vérifiées par rapport aux failles de sécurité
informatique connues, aux versions obsolètes ou aux correctifs, ainsi qu'à l'indisponibilité
de la maintenance et du support technique des produits.
|
|
50%
|
| Test des correctifs avant leur mise en production, en tenant compte de leur criticité |
La compétence principale de Versio.io réside dans la détection des changements et
leur post-traitement. Cela signifie que non seulement les changements planifiés, mais
aussi les changements imprévus peuvent être détectés lors des tests avant la mise
en service. De plus, l'étendue des changements peut être contrôlée objectivement au
niveau opérationnel grâce à une comparaison delta entre les environnements de test
et de production.
|
|
25%
 |
| Sauvegarde des données des systèmes informatiques concernés |
Avec Versio.io Batch Job Monitoring, les entreprises peuvent enregistrer, contrôler
la qualité et optimiser l'exécution cyclique des sauvegardes quotidiennes de données
de manière sécurisée. Les données enregistrées peuvent être vérifiées en termes de
contenu afin de garantir la gouvernance et la conformité. Vous pouvez ainsi être averti
si une sauvegarde a échoué ou si son temps d'exécution a considérablement changé par
rapport aux exécutions précédentes.
|
|
25%
|
| Plans de restauration visant à rétablir une version antérieure du système informatique
en cas de problème pendant ou après la mise en service.
|
Versio.io automatise entièrement la documentation de toutes les modifications apportées
aux systèmes informatiques. En cas d'annulation, Versio.io fournit des informations
détaillées sur l'état du système informatique avant la modification (par exemple,
configuration de l'application, schéma de la base de données, etc.).
Sur la base du Delta Topology Analyser, une vérification automatisée peut être effectuée
après l'inversion afin de garantir que la configuration correspond au dernier état
stable du système informatique.
|
|
50%
|
| Options de reprise alternatives pour remédier à l'échec des plans de restauration
principaux
|
Si la récupération à l'aide de procédures standard telles que la sauvegarde ou la
création d'un instantané n'est pas possible, Versio.io propose une documentation complète
du système informatique, condition préalable à la réinstallation partielle ou complète
d'un système informatique.
Grâce à l'analyseur Delta Topology, une vérification automatique peut être effectuée
après la réinstallation afin de garantir que la configuration correspond au dernier
état stable du système informatique.
|
|
50%
|
| Pour les modifications de configuration et les réglages de paramètres à faible risque
(par exemple, modifications de la disposition des applications, remplacement de composants
matériels défectueux, connexion de processeurs), différentes spécifications/contrôles
procéduraux peuvent être définis (par exemple, principe du double contrôle, documentation
des modifications ou contrôle en aval).
|
Tout changement dans l'environnement informatique, qu'il soit important pour l'évaluation
ou non, est automatiquement documenté et consigné. Versio.io crée ainsi une vue d'ensemble
et permet également d'identifier les causes des problèmes sur la base de configurations
apparemment sans importance.
|
|
100%
|
8.6
Les rapports relatifs aux écarts imprévus par rapport au fonctionnement normal (dysfonctionnements)
et leurs causes doivent être consignés de manière appropriée, évalués, classés par
ordre de priorité, notamment en fonction des risques qui en découlent, et transmis
à un niveau supérieur conformément à des critères définis.
À cette fin, des procédures standard doivent être définies, par exemple pour
les mesures et la communication ainsi que pour les responsabilités (par exemple pour
les codes malveillants sur les terminaux, les dysfonctionnements). Le traitement,
l'analyse des causes profondes et la recherche de solutions, y compris le suivi, doivent
être documentés. Un processus ordonné permettant d'analyser les corrélations possibles
entre les
perturbations et leurs causes doit être mis en place. L'état d'avancement du
traitement des rapports ouverts sur les incidents, ainsi que la pertinence de l'évaluation
et de la hiérarchisation, doivent être surveillés et contrôlés. L'institution doit
définir des critères appropriés pour informer les parties concernées (par exemple,
la direction, l'autorité de contrôle compétente) des incidents.
Les risques peuvent être identifiés, par exemple, en démontrant la violation
des objectifs de protection. L'analyse des causes profondes doit également être effectuée
si plusieurs systèmes informatiques sont utilisés pour enregistrer et traiter les
incidents et leurs causes. Des solutions standardisées de gestion des incidents et
des problèmes peuvent être utilisées à cet effet.
|
La gestion classique des incidents et des problèmes est assurée par des systèmes ITSM
spécialisés. Versio.io peut prendre en charge les rapports, les enregistrer et cartographier
les relations existantes avec les composants du système concernés (application, service,
processus, hôte, etc.).
Versio.io prend en charge le traitement des messages en fournissant des informations
sur toutes les configurations du paysage informatique et sur les modifications qui
y ont été apportées. Les informations relatives aux modifications constituent la base
de l'analyse des causes profondes, car les modifications sont souvent à l'origine
des incidents.
Outre la centralisation des informations et l'analyse des causes profondes, il est
possible de fournir des rapports sur les configurations à l'origine des problèmes,
voire sur les messages eux-mêmes.
Toutes les mesures prises sur les composants du système dans le cadre du dépannage
sont automatiquement documentées par Versio.io (par exemple, extension de mémoire,
mise à jour de version, modification de configuration, etc.). Chacune de ces modifications
peut être vérifiée en termes de gouvernance et de conformité.
|
|
50%
|
8.7
Les exigences relatives aux procédures de sauvegarde des données (à l'exclusion de
l'archivage des données) doivent être consignées par écrit dans un concept de sauvegarde
des données. Les exigences relatives à la disponibilité, à la lisibilité et à l'actualité
des données des clients et des entreprises, ainsi qu'aux
systèmes informatiques nécessaires à leur traitement, tels que définis dans le
concept de sauvegarde des données, doivent être dérivées des exigences des processus
opérationnels et des plans de continuité des activités. Les procédures de restauration
et de garantie de la lisibilité des données doivent être testées régulièrement, au
moins une fois par an, de manière aléatoire et selon les besoins.
Les exigences relatives aux mesures visant à garantir la disponibilité, la lisibilité
et l'actualité des données, ainsi qu'aux tests à effectuer, sont dérivées des analyses
de risques pertinentes. Un ou plusieurs emplacements supplémentaires peuvent être
nécessaires pour le stockage des sauvegardes de données.
|
Avec Versio.io Batch Job Monitoring, les entreprises peuvent enregistrer, contrôler
la qualité et optimiser l'exécution cyclique des processus de sauvegarde quotidiens
et des tests de récupération annuels de manière à ce qu'ils puissent être audités.
Les données enregistrées peuvent être vérifiées en termes de contenu afin de garantir
la gouvernance et la conformité. Vous pouvez ainsi être averti si une sauvegarde ou
un test de restauration a échoué ou si son temps d'exécution a considérablement changé
par rapport aux exécutions précédentes.
|
|
25%
|
8.8
Les performances et capacités actuelles des systèmes informatiques doivent être déterminées.
Les performances et capacités futures doivent être estimées. La fourniture des services
doit être planifiée et surveillée afin d'identifier rapidement les goulets d'étranglement
et d'y répondre de manière appropriée. Les performances et capacités requises des
mesures de sécurité de l'information doivent être prises en compte lors de la planification.
|
L'inventaire centralisé des actifs et des configurations de Versio.io fournit des
données de configuration provenant d'une grande variété de sources, telles que les
centres de données et les clouds, via des rapports et l'API ouverte. Cela permet de
déterminer les allocations de ressources configurées (nombre de processeurs, quantité
de mémoire vive ou de stockage sur disque, etc.). Versio.io ne collecte aucune donnée
sur la quantité de ressources réellement utilisées !
|
|
25%
|
En 2017, les exigences en matière de surveillance bancaire pour l'informatique (BAIT)
ont été publiées en tant que spécification des exigences minimales pour la gestion
des risques (MaRisk) traitant des exigences informatiques. Celles-ci doivent être
mises en œuvre par les établissements financiers sans période de transition et les
services informatiques doivent être alignés sur les BAIT.
