[Linux-bruxelles] Banque NewB : position vis-à-vis des FLOSS

L1.feel l1.feel at gmail.com
Jeu 4 Juil 16:46:43 CEST 2019


Parmi les questions posées durant l'AG de NewB, une nous touche :
Je vous oivre ici la question et la réponse.
*Q25 - Quelle est la position de NewB vis-à-vis des logiciels libres,
ouverts ?*

Le choix d’un fournisseur est guidé par un ensemble de considérations
parfois complexes et contradictoires.

*1) La réputation : l*a perception et les a priori que nous pouvons avoir
sur un fournisseur influencent certainement notre jugement sur le
fournisseur quand celui-ci ou ses produits et services sont préalablement
connus et a fortiori quand ils sont très largement connus du grand public.
Sans aucun jugement sur ces a priori et en dehors de tout débat passionnel,
nous sommes d’avis que ces a priori sont généralement objectivables et cela
ne fait pas l’objet d’une remise en cause.
Certaines difficultés apparaissent quand le fournisseur est un des GAFAM
(Google, Amazon, Facebook, Apple, Microsoft) dont les pratiques à grande
échelle peuvent être parfois contestables sur le plan éthique et moral
comme nous avons déjà pu le voir dans la presse :
-    Le traçage et profilage des habitudes de navigation, des habitudes
achat, des intérêts, des opinions, … des utilisateurs
-    Les données des utilisateurs peuvent être vendues
-    Les batailles juridiques au sujet de la conformité à la règlementation
européenne
-    La délocalisation de l’imposition par rapport aux pays où sont
exercées les activités
-    Les conditions de travail des employés de ces fournisseurs ou de leurs
sous-traitants ne correspondant pas aux normes applicables chez nous
-    …

*2) Les contraintes de sécurité* : Par ailleurs NewB, en tant que future
institution financière, doit se préparer à se conformer à une
réglementation très contraignante. Déjà aujourd’hui en tant qu’agent
d’assurance un certain niveau de sécurité doit être observé au vu des
activités qui nous ont été déléguées par l’assureur.
Les différentes politiques que nous avons développées dans le cadre du
dossier d’agrément bancaire ont un impact sur la sélection des fournisseurs
: politique d’outsourcing, politique de SLA, politique de gestion de la
continuité.
Sans entrer dans les détails, cela se traduit pour NewB principalement de
s’entourer de fournisseurs qui peuvent fournir une garantie suffisante sur
différentes questions pratiques :
- Le fournisseur ainsi que ses produits et services sont pérennes : nous
devons pouvoir compter sur des produits et services qui ne risquent pas de
disparaitre du jour au lendemain.

- Le fournisseur peut assurer la continuité des services fournis ainsi que
du fonctionnement des produits utilisés : nous avons besoin d’une assurance
suffisante que les services d’une banque en ligne ne soient pas interrompus
ou qu’une interruption de service reste dans des limites convenues.

- Le fournisseur doit pouvoir assurer un certain niveau de sécurité sur les
données hébergées : nous avons besoin d’une assurance suffisante que les
données relatives aux comptes bancaires et aux avoirs des clients ne
puissent pas être volées ou falsifiées.
- Le fournisseur doit pouvoir assurer un certain niveau de sécurité sur les
activités et les processus qui se basent sur ses produits et services :
nous avons besoin d’une assurance suffisante que les logiciels ne puissent
pas être corrompus.

Plus généralement NewB doit ou devra en tant que banque se conformer à des
réglementations et respecter des principes généraux de sécurité :
- RGPD
- Les principes de base de la sécurité : Confidentialité, Intégrité,
Disponibilité, Imputabilité, Authenticité, Non-répudiation, Fiabilité

La sécurité étant elle-même analysée et gérée via une grille d’analyse des
risques et un cadre de gestion des risques dont NewB doit répondre auprès
des autorités.

Pour NewB en tant que future banque, la question principale est donc
d’estimer les risques auxquels nous nous exposons suivant les fournisseurs
et leurs solutions qui sont choisis.

Nous choisissons, chaque fois selon les critères qui nous semblent
pertinents, les solutions qui sont compatibles RGPD, éprouvées et pérennes,
stables avec des niveaux de services garantis, certifiées selon des normes
de sécurités reconnues.

*3) La taille de NewB et la sobriété : *Un critère important pour NewB est
de choisir des solutions acceptables financièrement parmi celles
compatibles avec les contraintes de sécurité.
Dans le coût d’une solution on tient compte aussi des compétences internes
nécessaires à l’utilisation/gestion/maintenance de la solution choisie.
On compare le surcout d’une solution par rapport au coût du personnel
nécessaire pour utiliser une solution moins chère.
Aussi la petite taille de NewB ne permet pas non plus de consacrer beaucoup
de temps à investiguer, d’essayer ou comparer de façon exhaustive toutes
les possibilités du marché.
Pour les contraintes de sécurité et pour notre relative petite taille, nous
privilégions donc généralement des solutions éprouvées, voir même éprouvées
dans le secteur bancaire, chaque fois que cela est possible.

*Avantages et inconvénients des solutions open source*
Même si nous approuvons l’existence et le développement des solutions open
source et des logiciels libres, pour les raisons qui précèdent nous ne
pouvons pas utiliser ces solutions.
Nous estimons que ces solutions ne répondent pas, ou pas de façon évidente,
aux critères de sécurité auxquels nous devons nous conformer.
Pour NewB il est matériellement impossible d’investiguer les solutions open
source ou libres existantes chaque fois que nous avons besoin d’un logiciel
et de faire une analyse des risques sur les produits. Ces produits ne sont
généralement pas certifiés ou n’offrent pas de garantie, et nous ne pouvons
pas réaliser des analyses de risques dans le but de déterminer lequel
serait compatible. Nous n’en avons pas les moyens.
Une solution open source ou libre répondant aux exigences énumérées, sans
que nous ayons à établir nous-même la conformité, sera toujours une
solution envisageable.

-- 
-------------------------------------------------------------------------
Feel free to try *Open source software*.   Join now !
www.bxlug.be

Go and discover ...
https://www.pragmasoft.be/wiki_mint/doku.php
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://listes.domainepublic.net/pipermail/linux-bruxelles/attachments/20190704/a00fd411/attachment-0001.html>


Plus d'informations sur la liste de diffusion Linux-bruxelles