Article écrit en collaboration avec Sonia Cabanis et Antoine Gajac, associés Risk Advisory.

Compte tenu du poids croissant de la technologie dans les services financiers, les autorités de supervision européennes ont indiqué qu’elles veilleraient tout particulièrement à ce que les établissements fassent davantage preuve de résilience opérationnelle face aux incidents IT. Pour les superviseurs, la résilience opérationnelle consiste à réduire le risque de perturbations majeures, mais aussi (et peut-être même davantage) à permettre un rétablissement rapide en cas de survenance d’une difficulté.

Cette attention des autorités représente, pour les établissements, l’opportunité de développer une vision stratégique de leur gestion des évolutions technologiques. Suivre cette direction permettra, non seulement de répondre aux attentes des autorités, mais également d’aider au développement de systèmes d’information plus légers, plus agiles, directement articulés avec les processus métiers pour, in fine, améliorer globalement la rentabilité de la structure.

Dans un article précédent, nous avons présenté cinq principes essentiels pour construire une vision stratégique de la gestion du changement technologique pour les entreprises de services financiers. Si cette démarche est souhaitable, elle peut souvent impliquer, sur le court terme, des investissements. Les responsables IT et technologiques des entreprises doivent donc convaincre les dirigeants et les parties prenantes de l’importance des travaux, et démontrer la valeur ajoutée d’un investissement plus important dans la gestion du changement technologique et la résilience opérationnelle.

Les dirigeants peuvent construire la proposition de valeur sur au moins les cinq points suivants :

1 – Résilience et gestion de la réputation : en se basant sur le caractère critique (au sens de l’EBA – European Banking Authority), les entreprises qui investissent dans une cartographie précise de leurs systèmes peuvent retirer des avantages qui dépassent la simple réponse à une question des superviseurs. Un tel outil leur permettra non seulement d’identifier les domaines où les défaillances seraient les plus critiques (et donc d’appliquer plus efficacement les mesures préventives), mais également de permettre aux dirigeants d’acquérir rapidement la compréhension d’un incident lorsqu’il survient, et de réagir plus rapidement en cas de crise. Des incidents récents montrent qu’une mauvaise gestion des perturbations opérationnelles est critique, et que la capacité à présenter des informations exactes et à jour à toutes les parties prenantes (internes et externes) est cruciale pour éviter de perdre des clients ou faire face à des coûts de rétablissement potentiellement très importants.

2 – Des systèmes davantage sécurisés : les systèmes complexes sont souvent imprévisibles et difficiles à comprendre. Des systèmes ou des interdépendances mal compris peuvent considérablement augmenter les chances de réussite d’une cyberattaque ou le risque qu’elle ne soit pas identifiée à temps. Une cartographie plus robuste des systèmes peut aider à réduire la surface d’attaque vulnérable d’une entreprise et à mieux la protéger, tout en rassurant les superviseurs.

3 – Efficacité commerciale et maîtrise des coûts à long terme : la complication peut être coûteuse à rationaliser, mais elle est également coûteuse à maintenir. Les systèmes se développent inévitablement, mais les entreprises qui ont pris des mesures pour comprendre et mettre à jour leur portefeuille informatique, et qui ont mis en place des processus clairs pour cartographier leur évolution, pourraient maintenir des systèmes complexes mais compréhensibles. Ils consacreront probablement moins de ressources à la résolution des problèmes récurrents et pourront davantage s’attacher à tirer profit de leurs ressources informatiques.

4 – Plus grande flexibilité et adaptabilité des systèmes : les changements organisationnels ou métiers dans une entreprise en général déclenchent souvent des changements informatiques. Les opérations de cession et les fusions et acquisitions impliquent en général des intégrations de systèmes et sont fréquemment réalisées pour améliorer l’efficacité ou acquérir un avantage concurrentiel. Cependant, des complications informatiques peuvent ajouter des frictions supplémentaires et réduire les chances de réussite de ces opérations. Les entreprises qui ont une meilleure compréhension de leurs systèmes informatiques s’engageront plus facilement dans les mutations et en retireront des avantages plus importants.

5 – Alignement sur l’orientation réglementaire : les régulateurs de toutes les juridictions sont d’accord pour affirmer que les entreprises doivent avoir une meilleure compréhension des systèmes qu’elles utilisent pour leurs activités. Ils continuent de s’inquiéter de l’interconnexion des systèmes dans le secteur financier avec le risque qu’une perturbation informatique isolée puisse potentiellement se propager et toucher de nombreux acteurs. Il est donc improbable que les récents messages des autorités pour une meilleure maîtrise des risques informatiques et des programmes de changement associés ne soient pas suivi d’effets. Il sera demandé aux entreprises de démontrer que leurs systèmes sont correctement cartographiés et compris, et que toutes les parties prenantes sont impliquées en amont lorsque des modifications sont planifiées. Une telle approche aidera les établissements à démontrer que des mesures ont été mises en place pour réduire les risques d’une perturbation importante et pour en atténuer les conséquences, si jamais elle survient.

Ces propositions de valeur ne sont certes pas tout à fait nouvelles, mais, à notre avis, elles trouvent un écho fort dans le secteur des services financiers en raison notamment de l’évolution récentes de lignes directrice de l’EBA et des attentes exprimées en matière de résilience opérationnelle.

La surveillance exercées par les autorités sur ce sujet IT ne peut que croître. Compte tenu des premiers signaux, les responsables des évolutions IT dans les établissements ont des arguments forts à faire valoir pour mobiliser des investissements plus importants dans la gestion du changement technologique et la résilience opérationnelle.