Services financiers par Internet: la CSSF a l'oeil

Mercredi, Jean-Nicolas Schaus, Directeur général, et Arthur Philippe, un des directeurs de la Commission de Surveillance du Secteur Financier, ont présenté, ce mercredi, le rapport annuel d'activité pour l'année 2001. L'évolution du secteur financier, dans un contexte économique mondial pour le moins perturbé, y a été passé en revue. Pour le constat général que la place financière luxembourgeoise a globalement bien résisté aux secousses de cet exercice 2001 très mouvementé, avec un résultat net record pour les banques de 2,93 milliards d'Euro (+21%) et une croissance, plus significative, du produit bancaire de 5,2% à 7,9 milliards d'Euro; un marché des OPC toujours très florissant; une forte augmentation du nombre des autres Professionnels du Secteur Financier, passés de 113 à 145? Mais la CSSF ne se contente pas de compiler les chiffres relatifs aux établissements faisant la richesse de la place financière. Son activité de surveillance, volontairement "réfléchie et prudente" l'amène à se pencher sur de nombreux aspects, à commencer par celui des services financiers sur Internet?

Car même si l'engouement et la mode du "tout Internet" a fait long feu, et que beaucoup de monde est redescendu sur terre (voire plus profond pour les moins heureux?), la CSSF constate que ebanking et e-brokerage continuent de progresser, avec un taux, certes, plus faible que celui qui aurait pu être attendu, et que ces services financiers via Internet s'inscrivent plus que jamais "dans une stratégie tenant compte des réalités économiques et sociologiques actuelles et qu'ils continuent à contribuer de façon significative au développement de l'activité des établissements financiers dans le cadred'un schéma de croissance plus réaliste".

Au sein de la CSSF, l'audit informatique de la CSSF a pour principale mission la surveillance prudentielle des systèmes d'informations, c'est-à-dire la prise en considération des aspects technologiques, essentiellement informatiques et télécommunications, dans la surveillance du secteur financier. Cet audit traque les risques opérationnels qui découlent de l'utilisation de systèmes informatiques par les établissements financiers plutôt qu'aux risquesfinanciers.

Au cours de l'année 2001, l'audit informatique de la CSSF a eu 28 entrevues avec des établissements financiers et 22 entretiens avec des sociétés informatiques ou cabinets-conseils. Dix contrôles sur place ontété réalisés.

Ces 'opérations' ont concerné, outre les sites Internet consultatifs ou transactionnels, la sous-traitance d'activités en relation avec l'informatique; la délocalisation de systèmes; les centres de secours et plans de continuité ou encore l'évaluation des fonctions informatiques (organisation, sécurité,systèmes, ?).

"En procédant ainsi, la CSSF constate que les projets qui lui sont soumis par les établissements financiers sous sa surveillance répondent mieux aux attentes en matière prudentielle et réglementaire" explique-t-on auprès de l'institution, qui tient à préciser que ces rencontres avec ces sociétés de services informatiques ou cabinets-conseils ne débouche sur aucune délivrance d'un quelconque "label' spécifique de conformité aux services prestés par ces sociétés, qui ne peuvent se prévaloir d'une "certification'à la suite de tels entretiens.

Parallèlement, la CSSF a édité un document reprenant les résultats d'un recensement effectué fin 2000 sur les 202 banques alors encore recensées au Luxembourg (elles ne sont plus que 185 actuellement) 77 ont rapporté disposer d'une présence sur Internet (38,12%, mais parfois certaines banques disposaient-elles de deux sites) etsur 113 PSF, 34 disposaient d'une présence sur Internet (30,09%).

24 des sites bancaires (concernant 20 banques) étaient de type consultatif et 15 (pour 11 banques) étaient transactionnels. Quant aux 34 sites des PSF, 11 étaient consultatifs et 12 de type transactionnel. La très grande majorité de ces sites a nécessité desinvestissements inférieurs au million d'Euro.

Bien sûr, ces chiffres 'bruts' sont déjà obsolètes, d'une part en raison de la mise en place de nouveaux sites consultatifs et/ou transactionnels par plusieurs établissements, et, d'autre part, de la disparition de quelques unes des tentatives de "banques virtuelles"établies au Luxembourg.

Mais les tendances observées et l'analyse de la manière dont les établissement financiers ont abordé la mise en oeuvre de prestationsfinancières par Internet restent toujours d'actualité.

"Malgré la mise en place d'une protection efficace par la majorité des établissements financiers présents sur Internet, il persiste un risque qui réside auprès du client et qui découle d'un manque de formation sur les dangers d'Internet" estiment ainsi les analystes de la CSSF, qui place la balle autant dans le camp des établissements financiers que des utilisateurs: "un internaute qui ne protège pas son équipement informatique des attaques externes par des mécanismes analogues à ceux mis en place par les établissements financiers (firewall personnel et anti-virus), s'expose à voir un jour ses informations d'identification appropriées par l'attaquant qui pourra ainsi réaliser des opérations bancaires en son nom'préviennent-ils.

A noter que l'entrée en vigueur de la loi du 14 août 2000 sur le commerce électronique modifiant quelque peu le paysage technologique, notamment en matière de signature électronique, la CSSF n'est pas encore en mesure de proposer une définition de la qualification des certificats utilisés par les établissements financiers. Il faudra pour cela attendre la mise en oeuvre de la surveillance des prestataires de services de certification par l'Organisme luxembourgeois d'accréditation et de surveillance (OLAS), dépendant du ministère del'Economie.

Vous pouvez retrouver l'intégralité de ce document d'analyse "Les Services financiers par Internet" à l'adresse http://www.cssf.lu/docs/brochure_internet2001.pdf