Dans un contexte de mondialisation avec une interdépendance croissante des économies, les organisations privées et publiques doivent anticiper et être prêtes à faire face à des risques qui menacent leur pérennité.
La capacité à s’adapter aux perturbations opérationnelles inhérentes à la crise et à poursuivre leurs activités en limitant les pertes financières est la priorité des institutions financières.
Elles sont relativement rompues aux exercices d’élaboration et de tests de leurs PUPA (Plans d’urgence et de poursuite d’activité) au regard de l’arrêté du 03/11/2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’ACPR.
Par ailleurs, les principaux acteurs financiers font aussi partie des opérateurs d’importance vitale (OIV) associés au dispositif de sécurité des activités d’importance vitale (SAIV) de la Nation, qui repose entre autres, sur une approche de risques et d’élaboration de plans de continuité d’activité (PCA) dans l’objectif d’être prêts à faire face à des crises extrêmes.
En outre, la norme ISO 22301 soutient toutes les entreprises qui le souhaitent, dans la mise en œuvre de leur système de gestion de la continuité des activités afin de faire face à une situation de crise.
Les PUPA (Plans d’Urgence et de Poursuite d’Activité), PCA (Plans de Continuité d’Activité, PCI (Plans de Continuité Informatique), PRA (Plan de Reprise d’Activité) sont tous établis à partir d’une analyse détaillée des organisations (processus, activités, risques) et visent non seulement à leur permettre de poursuivre à minima leurs activités essentielles, en amont d’une reprise normale, mais aussi d’identifier leurs vulnérabilités en cas de crise ou choc extrême.
Les retours d’expériences de la crise du COVID-19 tendent à démontrer que les organisations les plus résilientes sont aussi celles qui avaient déjà entrepris une démarche d’assurer la continuité de l’activité en cas de crise.
Pour autant dans une situation inédite avec une crise sanitaire grave, à l’échelle mondiale, marquée par le fort ralentissement des économies, le confinement des populations, les établissements financiers ont démontré leur capacité d’organisation, d’agilité et d’efficacité afin d’assurer une continuité de leurs activités et soutenir ainsi l’économie. Aucun des scénarii de crise ou de risques précédemment analysé, n’intégrait une pandémie avec des impacts systémiques à l’échelle mondiale aussi importants et longs dans la durée.
Dès les premières alertes sur les conséquences sanitaires désastreuses du COVID-19 à l’échelle mondiale, les acteurs de gestion de crise et de continuité d’activité des établissements financiers ont anticipé le confinement en renforçant leurs dispositifs informatiques et en mettant à niveau leurs stocks de matériels afin d’équiper le personnel pour le télétravail. Cette démarche de mise à disposition de postes de travail informatiques opérationnels à certaines équipes pour des activités identifiées comme sensibles ou essentielles faisait déjà partie des plans étudiés dans le cadre des scénarii majeurs de crise.
Néanmoins, la généralisation de cette solution initialement cantonnée à certaines équipes, a conduit le Management à revoir et adapter rapidement les organisations et procédures en vue d’adapter les dispositifs de continuité d’activités. En réponse à l’indisponibilité des locaux et des ressources, l’infrastructure technologique a donc dû soutenir un nombre de collaborateurs travaillant à distance dans un contexte de recrudescence des cyberattaques, faisant craindre pour la saturation et la sécurité des systèmes d’informations.
Un renforcement des exigences est attendu de la part des régulateurs et superviseurs au titre de la résilience opérationnelle et informatique des institutions financières.
Au vu de la pression réglementaire et de l’enjeu majeur que représente la résilience opérationnelle pour la stabilité du système financier et bancaire, le sujet revêt un caractère stratégique.
Le sujet n’est pas nouveau puisque déjà en 2015 la Banque de France organisait un colloque international sur le thème de « la résilience opérationnelle des centres financiers ». Sa définition suivante confirme le caractère stratégique de la matière : « Enjeu majeur de la stabilité financière, la résilience opérationnelle a pour objectif de mettre à un écosystème financier en capacité de poursuivre ses activités critiques après une crise extrême. »
Aujourd’hui, plus qu’hier, il est évident qu’en plus du respect des exigences minimales en fonds propres, la gestion du Risque Opérationnel y compris du risque lié aux Technologies de l’Information et de la Communication (TIC) devra après la crise sanitaire davantage soutenir le renforcement de la résilience opérationnelle et numérique des institutions financières.
Le Comité de Bâle a saisi un groupe de travail dans ce sens notamment sur les pratiques de cyber-résilience des Banques.
Le recueil des « Orientations sur le processus de contrôle et d’évaluation prudentiels 2020 pragmatique à la lumière de la crise de la COVID-19 » publié en Juillet 2020, prévoit en ce qui concerne le Risque Opérationnel, « une attention particulière à la sécurité de l’information et la gestion de la continuité des activités », conformément à l’approche décrite dans la déclaration de l’EBA (European Banking Authority) sur la résilience opérationnelle numérique.
Les institutions bancaires intégreront dans leurs PUPA et scénario majeur de pandémie les données et impacts de la crise sanitaire du COVID-19.
La Commission européenne n’est pas en reste. Elle a publié en septembre son projet de loi sur la résilience informatique à l’attention des services financiers. La proposition de loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act, ou DORA) qui vise à atténuer le risque lié aux cyberattaques et renforcer la surveillance des services externalisés. La législation proposée imposera à toutes les entreprises de s’assurer d’être en capacité de pouvoir supporter tous types de perturbations et de menaces liées à l’informatique.
Le renforcement des exigences en matière de continuité d’activité liés à l’externalisation et de contrôles de l’outsourcing est prévisible.
Des pistes de réflexions sur la Stratégie et la Gouvernance de la résilience opérationnelle et numérique des institutions financières.
Gouvernance
La résilience opérationnelle est caractérisée par la capacité des acteurs du système financier et bancaire à anticiper, affronter et se rétablir après des perturbations opérationnelles graves en exploitant les retours d’expériences et enseignements.
En réponse à ce dernier point, quelles organisations à mettre ou mises en place pour collecter, analyser et tirer profit de la crise du COVD-19 pour la révision des PUPA ? Quelle option à envisager : un retour en arrière « comme avant » ou une opportunité « pour demain » afin réaliser des changements bénéfiques de la gouvernance et des organisations ?
Processus, Délégations et Habilitations
Des procédures dégradées ou dérogatoires ont ainsi pu soutenir l’activité des banques avec une relative efficacité et sans systématiquement générer des incidents et de pertes financières.
La révision des processus, des délégations et habilitations sur la base de l’analyse des risques avérés et des retours d’expériences pourraient-elle contribuer à gagner en simplification et efficacité tout en respectant le cadre réglementaire et la sécurité du Système d’Information ?
Open banking
La crise sanitaire a bousculé la transformation du système d’information. Cette évolution inciterait-elle les établissements bancaires à accélérer leur mouvement vers l’open banking ? En conséquence, le modèle de relation de la banque avec ses clients n’irait-il pas dans le sens d’une digitalisation renforcée ?
Sous-traitance et Externalisation
Les fournisseurs et sous-traitants notamment en charge des Prestations de Services Essentielles Externalisées malgré les dispositifs de contrôles et plans de continuité, arriveront-ils à maintenir leurs activités dans ce contexte qui pèse sur leur solidité financière ?
Télétravail, Résilience informatique
Les Plans de reprise d’activité prendront nécessairement en compte les nouvelles modalités de travail générées par la crise sanitaire du covid-19. Le développement du télétravail engendre pour les équipes IT un renforcement de l’infrastructure informatique et surtout de la sécurité du système d’informations notamment pour les postes de travail nomades ou équipements informatiques privés, utilisés à des fins professionnelles.
La résilience opérationnelle informatique et le risque lié aux TIC feront l’objet de davantage de contrôle, et d’attention, de la part des régulateurs et superviseurs. Les institutions financières sont-elles prêtes à déployer les moyens et allouer les budgets nécessaires pour la solidité et la sécurité des Systèmes d’informations ?
M.EZANA
