DNB adopte une position proactive sur la gestion des risques

Nécessité de protéger les services financiers
Les services fournis par les banques sont si essentiels que ces dernières doivent faire le maximum pour éliminer ou réduire leur exposition aux risques. Si les systèmes bancaires tombent en panne, cela peut avoir des conséquences dévastatrices sur les clients, les entreprises ou des pays tout entiers.

Qu’il s’agisse de garantir la disponibilité IT, de valider les partenaires commerciaux tiers ou de se protéger contre les cyberattaques externes, la nécessité d’identifier et de limiter les vulnérabilités est une tâche colossale. C’est certainement le cas pour DNB qui, avec des dépenses IT annuelles de plus de 500 millions d’euros, compte environ 50 propriétaires de services gérant près de 1 000 applications IT, centres de données et infrastructures cloud.

Dans le monde très réglementé des services financiers, DNB doit également protéger ses 11 licences de produits bancaires et financiers en prouvant sa conformité avec les dispositifs de surveillance tels que Schrems II, Bâle III et NIST.

« Si nous étions victimes d’une violation de sécurité et d’une intrusion de données, cela serait dévastateur pour notre réputation. Nous pourrions perdre nos licences et écoper d’amendes incroyablement élevées, et nos clients pourraient aller voir ailleurs », explique Anne Kristine Næss, architecte d’entreprise pour la plateforme ServiceNow chez DNB.

La gestion des risques fait partie des priorités de DNB, mais la banque a constaté qu’il était impossible d’effectuer ce travail complexe manuellement à l’aide de feuilles de calcul Excel. Cette tâche était trop chronophage, et lorsque les données étaient enfin disponibles, elles étaient souvent obsolètes.

En raison des Accords réglementaires de Bâle III et des besoins en capitaux liés à la posture de DNB en matière de risques, la banque doit également mettre de côté des sommes importantes chaque année, au cas où les choses tourneraient mal. Elle souhaitait mieux contrôler et revoir sa posture de risque afin de réduire ses besoins en capitaux, ce qui lui permettrait d’investir cet argent dans des activités plus rentables, telles que la création de nouveaux produits digitaux et de nouvelles fonctionnalités digitales qui répondent aux attentes toujours plus élevées des clients.

Atténuation des risques basée sur les données actuelles
« Nous avions besoin d’un outil capable de nous fournir une hiérarchie dans laquelle nous pourrions relier les nœuds et fournir des résultats présentant un intérêt dans différents cadres de travail », explique Kristine. « Nous devions également prouver que la gestion des tâches requises était conforme aux politiques, afin que les utilisateurs puissent collecter des données en temps réel, voir ce qui se passe et prendre des mesures en conséquence. »

« Nous n’avons pas pu nous abandonner totalement Excel, mais les gens comprennent désormais qu’il vaut mieux faire confiance aux données qui sont dans ServiceNow plutôt qu’à leurs feuilles de calcul. »

Déjà utilisateur de nombreuses autres solutions ServiceNow, DNB a mis en œuvre ServiceNow Integrated Risk Management pour gérer les risques à la fois pour les services internes et les menaces provenant de tiers.

Le module Software Asset Management (SAM) et l’outil Vulnerability Response servent à suivre les vulnérabilités liées aux actifs logiciels qui peuvent arriver en fin de vie ou nécessiter des correctifs et des mises à niveau. Ainsi, DNB peut s’assurer que les informations de sa Configuration Management Database (CMDB) sont correctes et que les propriétaires de services disposent de données incontestables pour les aider dans le financement des correctifs et d’autres activités qui sécurisent les services.

La solution ServiceNow Security Incident Response simplifie l’identification des incidents critiques et fournit des outils de workflow et d’automatisation qui accélèrent la résolution des problèmes. Cela permet à la banque d’apprendre ce qui a causé des problèmes par le passé et d’améliorer sa posture de risque.

« J’aimerais également mentionner le module DevOps et la prochaine configuration qui permet de vérifier les incréments de code avant qu’ils ne soient déployés et mis en production », explique Kristine. « Cela répond aux politiques en matière de risques comme NIST et garantit que davantage d’équipes travaillent sur les bonnes pratiques DevOps et nous fournissent une piste d’audit. »

Une meilleure connaissance de la vulnérabilité aux risques
DNB dispose désormais d’un cadre de travail constitué d’une équipe centralisée de gestion des risques qui coordonnent les processus : des experts en risques et en sécurité au sein d’un département IT centralisé et des responsables de la gestion des risques dans l’ensemble de l’entreprise.

Grâce aux technologies de ServiceNow, DNB a mis en œuvre un processus d’atténuation des risques avec de nombreux nouveaux contrôles et politiques conçus pour assurer la sécurité de la banque en sensibilisant les propriétaires de services aux risques et en leur permettant de prendre plus de responsabilités. Ce processus se concentre sur l’acquisition rapide de données en temps réel, ce qui permet au personnel d’évaluer correctement les risques actuels, puis de hiérarchiser ce qui doit être atténué. Il comprend également des évaluations automatisées des risques, où les propriétaires de services répondent aux questions pour traiter les risques auxquels ils sont actuellement exposés, les mesures d’atténuation qu’ils sont sur le point d’appliquer et les résultats finaux. S’ils réussissent, le risque peut alors être clôturé.

« Notre travail a permis de réduire considérablement les risques pour la banque, comme en témoigne le nombre d’éléments que nous avons traités pour réduire la probabilité d’une situation à risque », ajoute Kristine. « Actuellement, notre situation opérationnelle est bien meilleure qu’auparavant. C’est parce que nous faisons très attention à ce que nous mettons en production et que nous avons conscience que le risque n’est pas seulement un élément à signaler, c’est un changement d’état d’esprit. Cette situation, associée à notre capacité à rendre compte d’un bon processus de gestion des risques, a déjà entraîné une réduction notable des souscriptions de capitaux pour l’exercice en cours. »

« Aujourd’hui, nous avons très peu d’interruptions et de problèmes sur nos services critiques. Si nous souhaitons continuer sur cette voie, la solution ServiceNow Integrated Risk Management est notre alliée, car elle nous aide à toujours respecter nos normes. Nous souhaitons améliorer la satisfaction de nos clients et éliminer les temps d’arrêt, les services impactés ou les failles de sécurité, et ServiceNow nous aide à y parvenir. »