COMMUNAUTÉS & EXPERTISES — Expertises

EXPERTISES

«Sécurité informatique des institutions financières systémiques»



Mickaël Tome et Cyril Pierre-Beausse, Avocats à la Cour – Etude /c law (Photo: C-Law)

Mickaël Tome et Cyril Pierre-Beausse, Avocats à la Cour – Etude /c law (Photo: C-Law)

La Banque centrale européenne (BCE) a publié, en juin 2020, un rapport qui souligne les défis que les banques continuent de rencontrer en matière de technologies de l’information. Les enseignements que peuvent en tirer les acteurs de la Place sont nombreux, notamment au regard de l’évolution de la supervision de ces questions par la CSSF.

En tant qu’entités régulées par la BCE, les institutions financières systémiques de la zone Euro (essentiellement des banques) sont tenues, au terme d’une auto-évaluation annuelle, de fournir des informations sur la gestion de leur risque informatique et des contrôles qu’elles mettent en place en la matière. Sur base des données recueillies pour l’année 2018, la BCE vient de publier son rapport 2019.

Un rapport édifiant, et dont les constats et conclusions, au-delà des banques et des entités supervisées par la BCE, doivent interpeller l’ensemble des professionnels du secteur financier (PSF).

Outre des développements intéressants sur le besoin d’expertise technique au niveau du Board, la gestion de la complexité croissante de l’infrastructure informatique et la prévention des risques y associés (cybercriminalité, pannes, dépendance), une part importante des conclusions du rapport est consacrée à l’externalisation (outsourcing), et plus particulièrement au recours au cloud.

La BCE constate une augmentation de 10% des dépenses liées à l’outsourcing sur la période observée, mais relève également les progrès restant à accomplir afin de mieux gérer les risques informatiques induits par la sous-traitance informatique.

Pour beaucoup, ces risques et les fragilités identifiées par la BCE ont trait à la gouvernance insuffisante – et parfois défaillante – qui entoure nombre de projets d’externalisation.

Parmi ces risques, la BCE fait le constat d’une trop forte concentration de l’externalisation informatique, entraînant une dépendance parfois inacceptable à l’égard d’un seul sous-traitant, qui accapare parfois plus de la moitié des dépenses informatiques de certains établissements. La BCE observe en outre des pertes liées à l’indisponibilité ou à la qualité médiocre de certains services externalisés.

Afin de limiter les risques liés à l’externalisation, la BCE fait part de quelques recommandations qui nous semblent essentielles et font d’ailleurs écho aux exigences de la CSSF en la matière.

En premier lieu, les PSF doivent améliorer leurs processus de gestion des projets d’externalisation, en particulier en matière de gestion des risques. Certains PSF décident notamment de sous-traiter des fonctions informatiques, parfois essentielles, sans avoir conduit une analyse des risques approfondie basée sur une méthodologie reconnue (comme celle de l’ENISA).

D’autres ne documentent pas suffisamment les décisions et mesures de gestion et de réduction des risques. C’est le cas notamment de l’évaluation de la «matérialité» de la fonction externalisée: ce critère, posé par la CSSF, permet de distinguer les projets présentant des risques significatifs (et requérant donc une autorisation, ou au moins une simple revue selon les cas, par le régulateur) des projets non matériels, qui sont exonérés d’autorisation (mais pas des autres exigences de la CSSF).

Or, la CSSF insiste de manière croissante sur ces aspects de gouvernance, et retoque régulièrement des projets immatures, notamment en matière de réversibilité («exit strategy») ou de continuité des activités (BCP).

Les exigences du régulateur sont également fortes en matière de contractualisation. Or, les service level agreements (SLA) souvent imposés par certains grands fournisseurs de services ne sont pas toujours compatibles avec les circulaires de la CSSF. C’est notamment le cas en matière de droit d’audit du PSF ou de la CSSF sur le fournisseur. Il est donc souvent nécessaire pour les PSF de négocier des avenants reprenant les exigences minimales du régulateur.

Sur ce point, l’expérience montre qu’il ne faut pas prendre pour argent comptant les déclarations des fournisseurs qui assurent que leur produit cloud est validé par les autorités, ou que de nombreux autres PSF l’utilisent déjà sans difficulté sur le plan réglementaire. Ces assertions survivent rarement à un examen approfondi du projet, et encore moins à une vérification avec le régulateur.

D’ailleurs, une fois le contrat de services conclu, les négociations deviennent plus difficiles sur les avenants évoqués plus haut, et les fournisseurs se font parfois tirer l’oreille pour répondre.

Certaines offres alléchantes le sont parfois moins lorsque l’on met en perspective les coûts et délais de mise en conformité de la solution. Les impératifs de conformité doivent donc être pris en compte très en amont du projet, et avant la signature dans tous les cas. Ce qui n’est pas toujours simple lorsque l’outil est choisi au niveau du groupe: il faut alors en premier lieu faire preuve de pédagogie auprès de la maison mère.

Le rapport de la BCE démontre dans ces constats le bien-fondé des exigences de la CSSF: 45% des banques indiquent en effet avoir été contraintes d’activer leur plan de continuité au moins une fois en 2018. Avec les risques systémiques et d’effet domino que cela peut induire sur l’ensemble du secteur financier.

Face au risque, la CSSF affine régulièrement ses exigences, en tenant compte de l’expérience acquise dans les dossiers d’outsourcing et les orientations européennes en matière de cloud.

Chaque projet d’externalisation présente des défis non négligeables en termes techniques, de conformité (sans oublier les enjeux de protection des données personnelles) et de gouvernance. La direction doit enfin être consciente des délais requis pour la mise en place d’un projet mature et sa validation par le régulateur.

Il n’y a pas de petit projet d’externalisation.