Application des Murailles de Chine dans les institutions financières

En février 2016, un courtier en valeurs mobilières britannique a été condamné à £ 1.2 m par le FCA (Financial Conduct Authority) parce que sa muraille de Chine était faible et inefficace, alors qu’elle était censée séparer les parties publiques et privées de ses activités.

Le régulateur a également interdit la division de courtage de l’entreprise de la société de prendre des clients pendant 72 jours. Une simple erreur s’est avérée être une erreur coûteuse. La régulation financière exige que les institutions mettent en place des murailles de Chine pour se protéger contre les délits d'initiés. Toutefois dans l'environnement de la banque et de la finance où le turnover est élevé, ce peut être véritablement difficile pour les organisations d'assurer en permanence que la force des murs n’est pas compromise.

 

Cette déconnexion peut souvent être située entre le comité de direction et les autres bureaux ou celui de la sécurité.  Il est facile, pour un comité de direction, de demander l'édification d'un mur physique qui sépare les équipes ou les personnes engagées dans des activités contradictoires mais le défi, au jour le jour, du maintien de ces barrières est plus complexe. Avec un taux de renouvellement du personnel élevé et des employés changeant fréquemment d’équipe, il y a un décalage entre le moment où l’employé change de poste et la mise à jour de ses informations d'identification et d’accès. Cela peut conduire à des brèches dans les barrières de l'information, et poser de graves questions de conformité.

 

Pour les institutions financières à croissance rapide, une question connexe est de s'assurer que les murailles de Chine puissent être rapidement démantelées et reconstruites pour accueillir les équipes qui augmentent de taille ou sont relocalisées dans différentes parties des locaux. Trop souvent, il y a des périodes de « temps mort » où les murailles sont compromises par les modifications de disposition au sein du bâtiment.

 

La clé incontournable des barrières à l'information est d’investir dans une technologie de contrôle d'accès qui soit capable de faire respecter la muraille, ainsi que de fournir des rapports qui prouvent la conformité de l'organisation à la loi Sarbanes-Oxley (règles sur la comptabilité et la transparence financière, 2002). Les technologies de contrôle d'accès peuvent isoler une zone en veillant à ce que des employés ayant un certain niveau d’accréditation puissent se déplacer d'une partie d'un bâtiment à l'autre. Généralement utilisée pour les besoins de sécurité - détecter les intrus, empêcher l’accès aux zones sensibles aux sous-traitants, ces technologies sont aussi un outil important pour faire en sorte que les entreprises soient conformes et ne tombent pas sous le coup des autorités financières.

 

En outre, la sécurité peut être renforcée en liant davantage le système de contrôle d'accès au système informatique donnant des droits d’accès aux parties sensibles de l'infrastructure informatique. Cela signifie que les personnels peuvent seulement ouvrir une session sur le système informatique s’ils ont tout d'abord badgé dans une pièce ou un secteur particulier. Ces droits d'accès ne doivent pas seulement autoriser l'accès lui-même, mais peuvent aussi inclure les mots de passe et les données biométriques afin de maximiser la sécurité.

 

L'une des caractéristiques les plus importantes de toute solution de contrôle d'accès est sa capacité de relier les systèmes de ressources humaines et de mettre à jour, instantanément, les informations d'identification d'un individu. Ces systèmes peuvent garantir que, si un employé est en conflit dans une équipe ou quitte complètement l'organisation, ses droits d'accès seront révoqués. Un autre avantage des solutions de contrôle d'accès est la possibilité de les reprogrammer en quelques minutes si une équipe est déplacée vers un autre étage ou se développe et occupe des pièces supplémentaires dans les bureaux.

 

Une des principales raisons pour laquelle la Banque d'investissement Nomura a investi dans un système de sécurité de pointe fourni par Honeywell et installé par CornerStone CRG était de pouvoir séparer et isoler les individus amenés à prendre des décisions d'investissement, de ceux au courant d'informations confidentielles pouvant influencer ces décisions. Le système de Nomura s'intègre à l'intranet de la société. Il est donc simple pour les supérieurs hiérarchiques, de demander une modification de droits d'accès pour les membres de leur service. Les droits d'accès sont gérés afin que des groupes distincts soient créés pour les employés du domaine de conseil de l'entreprise et ceux du département de courtage afin de solidifier davantage les murailles de Chine.

 

« Intégrer le système avec nos propres systèmes de ressources humaines PeopleSoft® et l’intranet nous fait économiser un temps administratif important en éliminant la saisie répétitive des données liées à la gestion et la synchronisation des droits d'accès et des informations du détenteur de la carte » a commenté Andy Williams, chef de la sécurité EMEA (Europe, Moyen-Orient et Afrique) de Nomura. 

 

Des rapports solides sont également un élément essentiel pour garantir la conformité. Les meilleurs systèmes de contrôle d'accès font des rapports directs, en veillant à ce que les données historiques soient accessibles rapidement et facilement.  Ces données peuvent prouver où une personne se trouvait à un moment donné, déterminer si une violation a eu lieu et assurer que les rapports soient assez détaillés pour une enquête réglementaire.

Les lourdes amendes qui peuvent être encourues prouvent à quel point un écart en matière de sécurité peut être cher pour une institution financière. C'est un argument décisif pour investir dans un système de contrôle d'accès de haute qualité, capable de faire respecter les barrières de l'information et de protéger une organisation d'une enquête réglementaire.