En matière de risque informatique et de cybersécurité dans les banques européennes, les rapports du superviseur se suivent et se ressemblent. Sa toute dernière synthèse montre en effet des lacunes persistantes qui ont de quoi inquiéter dans un contexte où, selon moi, des transformations essentielles sont sans cesse reportées.
Basée à la fois sur les auto-diagnostics établis par les institutions financières elles-mêmes et les 22 missions d'inspection conduites dans 11 pays par la Banque Centrale Européenne depuis 2020, la compilation note d'abord une augmentation sensible de la sévérité et de l'amplitude des faiblesses identifiées. Deuxième constat fort, l'externalisation des services, qui a toujours été un point sensible des analyses au fil des ans, passe désormais au premier plan des préoccupations, dans plusieurs dimensions.
D'une part, les pertes avérées, généralement dues à des indisponibilités ou une mauvaise qualité des capacités concernées, sont en hausse. Bien que l'observation porte sur un petit nombre d'incidents à fort impact, elle souligne l'impératif d'un contrôle renforcé sur la dépendance à des fournisseurs tiers car elle tend à démontrer le caractère critique des composants qui leur sont confiés, même si leur part dans le total des dépenses technologiques reste stable (seule l'infonuagique croît, tout en restant marginale).
D'autre part, cette dernière tendance provoque une appréhension spécifique : les opérateurs de solutions en « cloud » (suffisamment sérieux et robustes pour être considérés par les banques) n'étant qu'une poignée sur le marché, la BCE craint un effet de concentration des risques d'autant plus problématique que les plans de sortie et de réponse aux urgences sont fréquemment négligés, mal préparés ou, à tout le moins, peu éprouvés (qui a vraiment testé la bascule de plate-forme prévue en cas de panne ?).
Soucieux depuis longtemps des multiples briques informatiques obsolètes qui continuent à assurer des fonctions fondamentales dans la plupart des établissements, le régulateur trouve de quoi se réjouir dans la diminution des anomalies de production engendrées par des projets stratégiques, qui sont pourtant en progression. Ce danger n'en reste pas moins la cause principale des interruptions de services enregistrées. En conséquence, une plus grande attention aux processus et à la gouvernance des changements est jugée indispensable. Les chantiers les plus sensibles (tels que les rénovations de cœurs bancaires) étant, à mon avis, encore à venir, la recommandation est cruciale.
Enfin, le sujet le plus délicat (récurrent, lui aussi) évoqué dans de rapport transcende tous ces aspects (ainsi que ceux que je n'ai pas repris ici) : il s'agit des compétences. En adoptant un point de vue modéré, la BCE n'hésite pas à faire le lien entre les déficiences exposées et le manque de compréhension de l'informatique dans les plus hautes structures de décision des banques. J'y ajouterais également une perte d'expertise technique interne au plus près des équipes de développement… souvent constituées uniquement de personnels externes ne maîtrisant pas les exigences du secteur et laissées sans supervision dédiée dans le domaine des risques et de le cybersécurité.
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)