La Banque Centrale Européenne s'émeut régulièrement des risques informatiques dans les institutions qu'elle supervise. Ses craintes sont désormais telles que deux des trois priorités prudentielles de sa stratégie à moyen terme comportent des dispositions spécifiques à ce domaine… et débouchent aujourd'hui sur de nouvelles exigences.
Depuis plusieurs années, les rapports de l'organe de contrôle du secteur pointent avec une inquiétude croissante un certain nombre de déficiences des banques de l'Union Européenne quant à la qualité de leurs systèmes informatiques, à la fois en regard de l'explosion des menaces de cybersécurité, des dangers de dysfonctionnements dus à leur obsolescence ou du manque d'emprise sur la sous-traitance. Après une phase d'observation, l'heure semble maintenant venue de passer à l'action.
Dans son exercice annuel de définition de ses objectifs pour les trois années à venir, la BCE a ainsi clairement positionné ses principales préoccupations technologiques au cœur de ses plans. Aux côtés de sa focalisation prolongée sur l'impact des chocs macro-économique et géopolitique, elle souligne son intention de s'attarder sur la transformation numérique, jugée insuffisante, et sur la gouvernance, avec une attention particulière aux compétences informatiques des conseils d'administration.
Ce dernier sujet est apparemment empreint d'une certaine urgence puisque deux mois après la présentation de ses projets, se dessinent les contours d'une politique naissante destinée à garantir que le management supérieur possède en son sein, collectivement, un minimum de connaissance et d'expertise lui permettant d'appréhender et de comprendre la matérialité et les évolutions des divers risques liés aux systèmes d'information qui régissent le fonctionnement de son organisation.
Dans une approche qui paraît, à ce stade (?), relativement souple, guidée par ses principes habituels de non interférence avec les législations locales, de proportionnalité (à la taille de l'établissement considéré) et de traitement au cas par cas (sans automaticité), la BCE vise tout de même à instaurer quelques règles formelles… dont l'application aux instances de direction est attendue à partir de ce mois-ci.
Si la première d'entre elles a l'air d'être triviale, puisqu'elle enjoint aux responsables de la gestion des risques, de la conformité et de l'audit de maîtriser le périmètre des technologies et de la sécurité, son rappel explicite laisse à penser que, même à ce niveau, des lacunes ont été identifiées, ce qui n'est guère rassurant.
Viennent ensuite deux obligations concernant le sommet de la pyramide. D'abord, au moins un membre non exécutif du conseil d'administration devra démontrer une expérience significative (la préconisation est de 5 ans) dans un rôle opérationnel en relation avec l'informatique et la sécurité. Enfin, tous ses collègues devront suivre régulièrement (une fois par an) une formation en la matière. Notons que cette prescription fait également partie de la réglementation DORA pour la résilience.
Il y a longtemps que le secteur financier, qui, en un demi-siècle de « digitalisation », a pourtant mué en une véritable industrie technologique, ignore sa nouvelle réalité et continue à considérer son informatique comme un outil de support et non comme la composante stratégique qu'elle est devenue. Il faut donc que le régulateur s'alarme pour qu'elle prenne finalement sa place dans les organes de pilotage.
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)