9 min de temps de lecture 18 juin 2019
vue-de-haut-ingénieurs-inspectant-engrenages-générateur-turbine

Pourquoi les banques doivent-elles considérer les plans de continuité d’activité comme un impératif stratégique ?

Par Radwan Hoteit

Associé, Responsable France du secteur finance, Executive Management, Banque et marchés de capitaux, France

Managing Partner Financial Services en France.

9 min de temps de lecture 18 juin 2019

Alors que la numérisation remodèle les services financiers et que de nouvelles vulnérabilités surgissent, disposer de plan de continuité d’activité n’a jamais été aussi important.

Devenir une institution financière entièrement numérique crée de nouveaux défis de résilience opérationnelle, au niveau des relations avec les fournisseurs de plateformes, de la numérisation plus poussée des interactions avec les clients et des menaces continues de cybersécurité. Les pannes informatiques et les défaillances de migration des systèmes ont retenu l’attention des clients, des médias, des pouvoirs publics et des régulateurs. À mesure que les banques remplaceront leur architecture de systèmes, elles devront intégrer la résilience opérationnelle dans leur processus de planification et de mise en œuvre.

Les participants du Bank Governance Leadership Network (BGLN) se sont réunis le 27 février 2019 à Londres et le 7 mars 2019 à New York pour discuter des méthodes appliquées par les banques en place pour aborder la résilience opérationnelle :

  • Pourquoi les plans de continuité des opérations et la résilience opérationnelle apparaissent comme une priorité croissante ?
  • Une approche holistique en quatre points pour atteindre la résilience opérationnelle.
  • Les trois grandes difficultés qui se profilent.
  • La nécessité de tests améliorés.
paysage-motocross-nature-sauvage
(Chapter breaker)
1

Chapitre 1

Pourquoi les plans de continuité des opération et la résilience opérationnelle apparaissent comme une priorité croissante ?

Les technologies, la réglementation et la demande des clients poussent les banques à offrir un service continu.

Trois facteurs expliquent l’importance accordée à la résilience opérationnelle et à la nécessité de surveiller les nouveaux risques.

1. Des réglementations qui délaissent la résilience financière au profit de la résilience opérationnelle.

À l’échelle mondiale, les organismes de réglementation changent d’orientation pour s’assurer que les banques peuvent fournir en permanence les services demandés à leurs clients et résister aux perturbations. Différents régimes réglementaires établissent leurs propres définitions et attentes en termes de résilience opérationnelle et adoptent différentes approches pour surveiller les difficultés sous-jacentes.

Les attentes des clients à l’égard du système financier ont évolué au fil des ans. Les dysfonctionnements opérationnels que personne n’aurait remarqués il y a encore quelques années sont aujourd’hui immédiatement pointés du doigt et font grand bruit.
– Participant du BGLN

Au Royaume-Uni, en juillet 2018, la Bank of England, la UK Prudential Regulation Authority et la Financial Conduct Authority (FCA) ont publié un document de travail conjoint intitulé Building the UK Financial Sector’s Operational Resilience, qui indiquait ce qui suit : « Les conseils d’administration des entreprises [et des infrastructures des marchés financiers] et la direction doivent impérativement participer à la définition des stratégies d’entreprise et opérationnelles et superviser leur exécution afin de garantir la résilience opérationnelle. »

2. Changement des habitudes de consommation et concentration accrue sur l’orientation client, la numérisation des services financiers et les risques associés.

Dans son rapport publié en février 2019, le régulateur britannique, la FCA a annoncé une augmentation de plus de 500 % des pannes technologiques dans les entreprises financières britanniques entre 2017 et 2018 par rapport à l’année précédente. Ces mêmes entreprises qui ont signalées près de 145 failles au cours de l’année, contre 25 l’année précédente. Les banques font donc régulièrement les gros titres pour des problèmes de pannes, d’infractions et de temps d’arrêt.

L’évolution des habitudes de consommation pousse les banques à proposer des processus plus connectés et de plus en plus numérisés, créant de nouvelles attentes et de nouveaux risques. Ce sont ces derniers qui mettent l’accent sur la résilience des banques.

3. Pression interne pour se prémunir contre le risque de réputation.

Les inquiétudes concernant l’atteinte à la réputation des entreprises due aux pannes et aux temps d’arrêt contribuent également à cette tendance. Un administrateur a déclaré : « Notre propre norme de protection contre le risque de réputation est plus exigeante que ce que les organismes de réglementation nous demanderont. » Les clients exigent un accès 24 h/24 et 7 j/7, et les nouvelles technologies numériques innovantes nécessitent des opérations continues. Les nouveaux modèles économiques impliquent une dépendance encore plus importante à l’égard des tiers. 

L’interaction continue entre les banques et les clients signifie qu’en cas de problème, les réactions publiques sont plus immédiates et plus exigeantes, poussant les entreprises à réagir plus rapidement que jamais face aux interruptions de service.

femme-d’affaires-parlant-collègue-bureau-vitré
(Chapter breaker)
2

Chapitre 2

Une approche holistique en quatre points pour atteindre la résilience opérationnelle.

Les discussions actuelles sur la résilience vont au-delà de la cybersécurité et de la prévention des pannes.

Les organismes de réglementation et les spécialistes du secteur invitent les banques à réfléchir de manière plus globale à la résilience. L’ampleur de ce concept peut rendre difficile pour les conseils d’administration l’élaboration de pratiques de surveillance efficaces.

Les participants du Bank Governance Leadership Network (BGLN) ont mis en lumière certains domaines d’intervention pour accompagner les conseils d’administration à élaborer des pratiques de surveillance efficaces.

1. La résilience doit être intégrée aux efforts de transformation numérique. 

Les institutions doivent s’assurer que les risques associés à chaque nouvelle initiative ou nouveau partenariat ont été examinés et évalués de manière appropriée et que des contrôles sont en place.

On parle toujours des problèmes des systèmes hérités ; parfois, cela me fait rire parce que, dans la plupart des cas, c’est la super nouvelle application qui est à l’origine des problèmes.
– Un régulateur bancaire

2. Les mises à niveau informatiques comportent des risques, mais sont néanmoins nécessaires à la résilience à long terme.

Les entreprises ne peuvent plus retarder le remplacement de systèmes obsolètes. Dans un contexte où les banques font régulièrement les gros titres pour des questions de failles informatiques et cybernétiques, il peut être tentant de faire preuve de prudence, mais cette approche pourrait induire des problèmes de résilience. Alors que la transition vers de nouveaux systèmes entraîne des risques de migration et d’exécution, les mises à niveau devraient à terme améliorer la résilience. 

3. Les stratégies de réponse, les plans de reprise après sinistre et l’apprentissage continu entraînent des améliorations.

Alors que les banques ont amélioré leurs offres numériques et donné aux clients la possibilité d’interagir avec les services bancaires en temps réel, les temps d’arrêt et les mécanismes de réponse sont sous pression. 

Les planifications doivent tenir compte des possibilités de défaillances. Ce point semble évident dans le domaine cybernétique, mais il doit également être appliqué aux activités opérationnelles.
– Un régulateur bancaire

A la suite de ruptures, les entreprises ont besoin de plans solides de reprise qui assurent la remise en ligne des systèmes et données de manière contrôlée et rapprochée. Chaque rupture est l’occasion d’apprendre et de s’améliorer.

4. L’implication du conseil d’administration au bon moment est essentielle.

Un des commentaires fréquent émis par les superviseurs consiste à faire remarquer que les conseils d’administration devraient être informés dès le début d’un incident : « Dans presque toutes les enquêtes auxquelles nous avons assisté, les communications ne se faisaient pas correctement et le conseil d’administration n’a pas été informé en temps opportun. »

amis-ey-mangeant-popcorn-sofa
(Chapter breaker)
3

Chapitre 3

Les trois grandes difficultés qui se profilent.

Pour améliorer leur résilience, les banques doivent gérer les opérations commerciales, les services et les relations.

1. Définition du seuil de criticité

Même si cela peut être difficile pour les très grandes institutions, définir des seuils de criticité peut aider les conseils d’administration et la direction des établissements de crédit à envisager le niveau de confort des banques vis-à-vis de leur résilience opérationnelle.

Il incombe au conseil d’administration de surveiller la définition retenue par la direction du seuil maximal de criticité. Un membre d’organisme de réglementation nous a confié : « Le conseil d’administration joue un rôle de plus en plus crucial après une crise. Par le passé, vous vous concentriez sur le rôle que jouait le conseil d’administration en réponse à un événement. Les entreprises n’ont pas toujours pensé aux projections de temps de récupération. Elles sont même nombreuses à ne pas avoir la moindre estimation en la matière ! Vous devriez poser la question à votre direction. Le rôle du conseil d’administration est de savoir ce que la direction a fait dans ce domaine. »

Jusqu’à présent, les entreprises se concentraient sur la résilience des actifs clés ou de certaines fonctions ou activités spécifiques. Désormais, les organismes de réglementation souhaitent que les entreprises identifient les services commerciaux les plus critiques qu’elles fournissent à leurs clients et au marché et cartographient l’ensemble du processus en incluant le client, l’organisation et les tiers impliqués.

2. Une gestion des relations avec les tiers de plus en plus importante

Une partie de l’examen « de bout en bout » de la résilience doit prendre en compte les fournisseurs tiers, dont les entreprises sont de plus en plus tributaires pour les mises à niveau et les nouvelles plateformes technologiques. Un administrateur executif a remarqué que le risque s’étend également au-delà des tiers pour inclure « les parties subséquentes, dont nos fournisseurs tiers peuvent largement dépendre, mais dont nous ne savons que très peu de choses ».

Les entreprises ont commencé à renforcer leurs procédures de vigilance vis-à-vis de leurs fournisseurs et à identifier des opportunités d’amélioration dans le partage d’informations et la collaboration sur la gestion des risques de tiers, y compris à l’aide d’outils financés par l’industrie.

Les entreprises ont évoqué un risque de partage des responsabilités avec les fournisseurs IT et les prestataires de services cloud. Ils ont également souligné la nécessité pour le conseil d’administration de veiller à ce que la direction définisse clairement les actions de l’entreprise et les aspects qui relèvent des fournisseurs tiers.

3. Un défi de taille pour la sécurité des données

La sécurité des données demeure l’un des problèmes les plus délicats pour les sociétés financières. La protection de l’intégrité des quantités considérables de banques de données disponibles est une préoccupation sérieuse. « La corruption des données est le pire scénario auquel nous devrions tous songer. Si un ensemble de données stocké dans une très grande banque venait à être compromis, cela pourrait entraîner la fin du système financier d’un pays », explique un directeur.

Mais la migration de grandes quantités de données bancaires constitue également une difficulté majeure. L’objectif est d’améliorer les opérations et la résilience, mais la transition peut entraîner des défaillances du système ou la perte de service ou de données.

 « La plupart des difficultés de migration sont du ressort des entreprises et concernent la définition d’un mode de migration. Lorsque vous songez à migrer la conception de votre produit, vous devez déterminer combien de variantes du produit vous pouvez migrer et ce que vous souhaitez faire du reste. » Plusieurs participants ont souligné que la migration incrémentielle des données est une approche adaptée, mais qu’au sein d’une banque la migration d’un seul système à la fois peut toutefois se révéler problématique.

ingénieur-vérifiant-machine
(Chapter breaker)
4

Chapitre 4

La nécessité de tests améliorés.

Alors que les organismes de réglementation affirment que même les tests actuels des plus grandes entreprises sont insuffisants, nous sommes en droit de nous demander quelle sera la meilleure solution.

Les banques doivent améliorer leurs tests de scénarios, car les organismes de réglementation estiment qu’ils ne permettent pas une reprise rapide après une crise. Et les attentes des superviseurs sont de plus en plus élevées.

Selon un participant, les banques devront bientôt démontrer :

  • quels tests sont effectués ;
  • ce qui est testé et à quelle fréquence ;
  • le niveau de complétude des tests ;
  • ce que les tests ont révélé ;
  • les plans mis en place pour répondre aux problèmes identifiés.
  • Les conseils d’administration des sociétés financières devraient se poser les questions suivantes :

    Notre groupe EY spécialisée dans les questions de gouvernance (SMA) a suggéré à des conseils d’administration d’étudier cinq questions concernant la surveillance de la résilience opérationnelle et informatique :

    1. Le conseil d’administration connaît-il la stratégie de continuité d’activité de l’entreprise et l’organisation mise en place par la direction pour apprécier sa capacité de résilience ? Le conseil d’administration connaît-il les rôles du directeur d’exploitation/de l’agent administratif principal, du directeur technique, du responsable de la sécurité des systèmes d’information, des responsables de secteurs d’activité et des responsables des plans de continuité des activités ? Quel est le rôle des équipes de la direction des risques ? Quel est le rôle d’un audit interne ?

    2. Comment le conseil d’administration devrait-il superviser les capacités de résilience et les plans de continuité d’activité ? Les risques liés à la résilience et de continuité d’activité concernent les comités de risques, d’audit et informatiques et requièrent l’attention de l’ensemble du conseil d’administration pour faire la distinction entre risques de cessation d’activité, de cybersécurité et de confidentialité et déterminer où ils se recoupent.

    3. Comment améliorer les rapports transmis au conseil d’administration ? Le conseil d’administration obtient-il des informations exploitables et compréhensibles sur les initiatives et investissements importants, sur les principales questions de réglementation et de surveillance et sur les risques émergents liés à la continuité des activités ?

    4. Quel est le rôle du conseil d’administration en cas de crise ? Comment la communication entre la direction et le conseil d’administration fonctionnera-t-elle en cas de crise et quand la direction demandera-t-elle l’avis ou l’approbation du conseil d’administration ?

    5. Le conseil d’administration sait-il comment le risque de cessation d’activité sera abordé au fur et à mesure que l’entreprise transformera son modèle économique, son modèle opérationnel et ses technologies ? La prudence est de mise pendant ces périodes de transition entre des plateformes technologiques traditionnelles et de nouvelles technologies, car les entreprises dépendent de plus en plus de tiers (et de parties subséquentes) pour fonctionner. Certains peuvent améliorer la résilience, alors que d’autres risquent de créer de nouveaux risques en la matière. Certaines nouvelles technologies peuvent présenter leurs propres difficultés : étant donné que les entreprises dépendront de plus en plus de l’automatisation, de l’apprentissage automatique, de l’intelligence artificielle, du traitement direct et d’autres applications technologiques émergentes, il faudra s’assurer que les capacités de poursuite des activités sont intégrées à ces processus.

La résolution des difficultés de planification des capacités de poursuite des activités opérationnelles peut prendre du temps. Une stratégie cohérente, soutenue par le conseil d’administration et la direction, doit être mise en place pour adopter une terminologie partagée, définir les rôles et responsabilités et tenir compte des problèmes qui affectent plusieurs parties de l’organisation.

Cet article est tiré du Viewpoints rédigé suite aux réunions du Bank Governance Leadership Network (BGLN) tenues le 27 février 2019 à Londres et le 7 mars 2019 à New York. Il vise à saisir l’essence des discussions menées lors de ces réunions et des recherches associées.

Ce qu'il faut retenir

La capacité à maintenir l’ensemble de ses activités opérationnelles en cas de crise est une priorité croissante pour les banques. Le Bank Governance Leadership Network (BGLN) s’est réuni pour discuter des difficultés engendrées par la digitalisation croissante d’un grand nombre de processus bancaires et de l’angle d’attaque adopté par les banques pour aborder de manière globale la résilience opérationnelle.

A propos de cet article

Par Radwan Hoteit

Associé, Responsable France du secteur finance, Executive Management, Banque et marchés de capitaux, France

Managing Partner Financial Services en France.