Les banques apparaissent aujourd’hui comme étant de plus en plus dépendantes des technologies de l’information et de la communication. Cela entraîne l’émergence de nouveaux risques opérationnels. Les institutions financières ont alors un objectif majeur, à savoir le maintien d’un service continu face à ces nombreux risques. Les départements de conformité et de contrôle interne auront alors pour nécessité de se préparer à ces nouveautés. Nous allons essayer d’éclaircir ces impacts spécifiques.
Ainsi, la réglementation DORA (Digital Operational Resilience Act) insufflée par l’Union européenne, aura pour objectif d’établir et de maintenir pour les institutions financières, un cadre unique concernant la gestion des risques informatiques. Il y aura donc un travail de procédure approfondi ainsi qu’une sensibilisation continue. Cette nouvelle réglementation est nécessaire, et nous allons ainsi chercher à en saisir les différents enjeux, plus spécifiquement via le prisme des activités de contrôles des établissements financiers.
Une régulation nécessaire
Il existe à ce jour de très nombreuses règles de contrôle, de gestion des risques et de procédure sur le numérique au sein des différents acteurs financiers. Face à l’explosion des risques de cybercriminalité, une réglementation européenne ayant pour objectif d’uniformiser la gestion de ce risque s’impose.
• Les objectifs visés
Face à l’explosion de ces nouveaux risques, les différents États de l’union européenne ont développé de nombreuses règles propres à la résilience opérationnelle numérique. Cela a donc engendré certaines incohérences et un sévère manque de coordination. La mise en place d’un cadre clair et des objectifs deviennent nécessaires. Les objectifs développés au travers de cette réglementation sont les suivants :
– Développer des procédures communes de tests des systèmes informatiques ;
– Sensibiliser les autorités de surveillance concernant cette cybercriminalité et leurs impacts ;
– Créer un cadre commun et unifié concernant la gestion des risques informatiques.
Avec la crise due à la pandémie, il a été possible de constater que les établissements bancaires ont justifié d’une certaine résilience. En effet, des moyens ont été développés et mis en œuvre afin de lutter contre les cyberattaques. Néanmoins, cela n’a pas stoppé le phénomène qui ne cesse de croître et met en péril la continuité de l’activité.
• Une réglementation européenne qui cible spécifiquement les établissements financiers et les métiers du contrôle
Ce règlement appelé DORA, s’appliquera aux 27 pays membres de l’Union Européenne. Il cible spécifiquement les établissements financiers, établissements de crédit, mais aussi l’ensemble des tiers prestataires de services informatiques. Un cadre spécifique de surveillance au niveau de l’UE permettra de superviser les prestataires de services des technologies de l’information et de la communication (TIC), jugés comme étant majeurs pour les établissements financiers. Ces intermédiaires considérés comme étant critiques, devront alors s’identifier. Ils seront soumis à différents contrôles (sur pièce ou sur place) afin de s’assurer qu’ils ont mis en place un dispositif suffisant de maîtrise des risques liés au TIC (articles 33 à 37 de la réglementation DORA). Il est important de noter que quoi qu’il arrive, ces contrôles du régulateur ne permettront pas de diminuer la responsabilité des banques. Les directions de la conformité, et du contrôle interne seront alors porteuses de ces nouveautés et auront pour responsabilité de les déployer.
• Les impacts opérationnels en termes de contrôle
Le pilotage de cette gestion des risques informatiques incombera à l’organe de direction, qui en assumera la pleine responsabilité. Ils auront alors l’obligation de suivre une formation spécifique. En effet, le règlement DORA va imposer un cadre complet de gestion des risques liés aux TIC. Un cadre spécifique sera également fixé quant à la gestion des incidents. Un processus sera alors imposé aux entités financières : formalisation, classification, notification, harmonisation/centralisation et présentation de rapports. Des principes clé vont être développés concernant la gestion des risques liés aux prestataires. Ainsi, la réglementation DORA va préciser les aspects indispensables pour assurer un bon suivi du tiers, tout au long de la relation (conclusion du contrat, exécution, résiliation et post-contrat). Certains principes majeurs vont alors apparaître :
– Évaluer les risques et leur criticité
– Déterminer et obtenir des éléments contractuels majeurs
– Mettre en place un registre d’information
Un défi à relever pour la conformité et le contrôle interne
Différents services vont se voir impacter par ces impératifs, il est, en effet, possible d’envisager une adaptation des directions de la conformité, du contrôle interne ou encore des directions des systèmes d’information.
• L’évaluation des fournisseurs
Cet aspect va en effet représenter l’un des premiers challenges pour les établissements financiers. Il sera alors nécessaire de réaliser une évaluation pré contractuelle des fournisseurs (approche basée sur les risques). Une problématique va se poser pour les institutions majeures, de taille conséquente qui possèdent de nombreux fournisseurs TIC. Une évaluation approfondie sera, en effet, difficile à appréhender, il sera alors nécessaire d’établir des priorisations.
• La question contractuelle
Cette nouvelle réglementation peut avoir pour effet la nécessité de modifier ou ajuster les contrats que possèdent les établissements avec leurs fournisseurs de services technologiques et informatiques. Cela représenterait alors un chantier conséquent notamment pour les petites structures. Cette problématique est d’ailleurs encore un peu plus marquée lorsque l’on prend en compte le fait que les banques n’ont pas encore achevées leur mise en conformité suite aux orientations de l’EBA, concernant l’externalisation (émises en 2019). Ce ne sont pas simplement les PSEE (Prestataires de Services Essentiels Externalisés) qui vont demander une attention particulière, les autres prestataires, fournisseurs de services informatiques critique vont également entrer dans le périmètre de contrôle selon la réglementation DORA.
• Le partage d’informations
En effet, les établissements financiers vont avoir pour obligation d’échanger des renseignements liés aux cybermenaces. Le partage d’informations entre les établissements financiers est introduit par la réglementation DORA qui présente des lignes directrices. Cela va avoir pour conséquence l’apparition de certains questionnements. Il sera nécessaire de déterminer quelles informations il est possible de partager, mais également le canal qui permettra de le faire de manière sécurisée.
De plus, cela entraînera la mise en place de processus particuliers.
Ainsi, cette nouvelle réglementation européenne vient ajouter une pierre à l’édifice, déjà conséquent, du contrôle et de la réglementation qui s’impose déjà aux banques et autres établissements financiers. La mise en œuvre devrait s’échelonner sur une période allant de début 2023 à fin 2024. Les établissements vont devoir entamer ce travail et prendre certaines dispositions. Un changement significatif en termes d’organisation et de processus sera nécessaire. Cela nécessitera des ressources et du temps pour ces établissements financiers qui vont devoir entamer cette mise en conformité rapidement.
Sources:
Finance numérique: accord provisoire concernant le règlement sur la résilience opérationnelle numérique – Consilium (europa.eu)
Les banques sont-elles cyber-proof dans le monde numérique ? (europa.eu)
Projet de règlement DORA : renforcer la cybersécurité du secteur financier (haas-avocats.com)
Supervision bancaire de la BCE : évaluation des risques et des vulnérabilités pour 2021 (europa.eu)
Pôle Conformité Contrôle Interne – CMG Advisory
