Article écrit en collaboration avec Sonia Cabanis, Grégory Abisror et Antoine Gajac, associés Risk Advisory.

Au cours des 12 derniers mois, les législateurs, les régulateurs et les autorités de surveillance ont tous exprimé leurs préoccupations concernant la manière dont certaines entreprises du secteur financier gèrent la transformation de leurs systèmes et technologies d’information et de communication (TIC).

Les autorités de contrôle, et notamment la Banque Centrale Européenne (BCE) ou l’Autorité de Contrôle Prudentiel et de Résolution (ACPR), suivent déjà de près ces transformations depuis quelque temps. Grâce à leur processus régulier de contrôle et d’évaluation de la supervision (SREP) et à leurs inspections sur site, elles intègrent les préoccupations récentes liés à la numérisation ou à la sécurité des systèmes ouverts. Cette tendance se poursuivra avec un approfondissement des exigences et une extension des contrôles aux établissements de taille non systémique.

Cette tendance s’accompagne de travaux des autorités de régulation. Ainsi l’Autorité bancaire européenne (ABE) a publié en décembre 2018, un projet de lignes directrices sur la gestion des risques liés aux TIC et à la sécurité qui pourraient s’appliquer dès 2020. Sous leur forme actuelle, les lignes directrices obligeraient les entreprises à gérer avec soin les modifications apportées à leurs systèmes informatiques et à avoir des procédures robustes en place en cas de perturbations.

Les entreprises doivent être capables d’innover, de gérer la complexité de leurs systèmes et de mettre à jour les anciens. Elles doivent le faire tout en réduisant au minimum les risques de pannes et les perturbations en cas de survenance d’un incident.

Il existe des liens directs entre les bonnes pratiques usuelles en matière de gestion des systèmes informatiques, la résilience opérationnelle face au changement technologique, et la plupart des points soulignés par les régulateurs.

Les cinq principes suivants peuvent constituer la base d’une vision stratégique de la gestion du changement technologique pour les entreprises de services financiers :

1 – Proactivité : les entreprises doivent adopter une attitude proactive en matière de gestion du changement informatique. Il peut y avoir des motivations à court terme pour retarder de gros programmes, mais une entreprise qui traite l’obsolescence le plus tôt possible peut par la suite récolter des dividendes. La complexité augmente avec le temps, et les systèmes plus complexes sont plus difficiles à exploiter et à rationaliser.

2 – Investissements : un programme stratégique de gestion du changement informatique est, par définition, vaste. Il doit être soutenu par un budget adapté, réunir les principales parties prenantes de l’entreprise et disposer de suffisamment de temps et de ressources. Les conseils d’administration doivent être impliqués, compte tenu de l’importance stratégique de ce sujet, et les superviseurs voudront voir des preuves d’une gouvernance solide et d’une implication appropriée de la direction.

3 – Capacité et « mémoire musculaire » : il est peu probable que le rythme du changement informatique se ralentisse à mesure que l’innovation technologique se poursuit. Plutôt que de voir chaque changement comme un événement individuel, les entreprises doivent optimiser les capacités pour tirer les leçons des changements précédents, réduire les fenêtres de préparation et minimiser le risque d’erreur grâce à des plans d’exécution robustes mais flexibles. Ces plans devraient être utilisés dans les programmes de changement quelle que soit leur taille.

4- Planification : de nombreux programmes de changement informatique retiennent une trajectoire marquée par un biais d’optimisme. Il est essentiel de prendre en compte dès le départ ce qui pourrait mal se passer et de planifier les mesures de contournement, d’atténuation et de rétablissement au cas où le pire arriverait. Les autorités ont souligné la nécessité d’inclure de la flexibilité dans les délais, afin de prendre en compte les problèmes identifiés lors de tests, ou des revues indépendantes par exemple.

5 – Capitaliser sur l’expérience des projets connexes : les entreprises doivent faire le lien entre leurs programmes informatiques et capitaliser sur les bonnes pratiques observées sur les projets. La mise en place de méthodes normées et formalisées est clé afin de pouvoir mutualiser et intégrer les bonnes parties prenantes au sein d’équipes projet et ainsi mutualiser les expériences. L’ABE a souligné qu’il s’agissait d’une attente clé.

En adoptant une vision stratégique inspirée des principes énoncés ci-dessus, les entreprises peuvent se positionner en pionniers plutôt que d’être prisonniers de leurs systèmes, alors même que les régulateurs envoient des signaux clairs indiquant qu’ils attendent des entreprises qu’elles les gèrent mieux, et en continu leurs programmes de changement informatique.