Dans un monde où les technologies de l’information et de la communication (TIC) occupent une place centrale dans les opérations des établissements financiers, la gestion des risques qui y sont associés est devenue une priorité incontournable. Les Orientations EBA/GL/2019/04, émises par l’Autorité Bancaire Européenne (EBA) et applicables depuis le 30 juin 2020, offrent un cadre robuste pour répondre à ces défis. Intégrées en France par l’arrêté du 25 février 2021 dans le Code monétaire et financier, ces orientations imposent aux établissements de crédit, entreprises d’investissement et prestataires de services de paiement (PSP) des exigences claires pour atténuer et gérer les risques liés aux TIC et à la sécurité.

Cet article explore les principaux aspects de ces orientations, leur mise en œuvre en droit français, et leur impact sur le secteur financier.

Un cadre harmonisé pour une gestion efficace des risques TIC

Les Orientations EBA/GL/2019/04 visent à harmoniser les pratiques de gestion des risques TIC au sein du marché unique européen. Elles s’adressent aux établissements financiers, incluant les PSP (au sens de la DSP2) et les établissements de crédit ou entreprises d’investissement définis par le Règlement (UE) n° 575/2013. Ces orientations définissent le risque TIC comme le risque de perte lié à une violation de la confidentialité, une défaillance de l’intégrité ou de la disponibilité des systèmes et données, ou encore une incapacité à adapter les technologies aux évolutions des besoins métiers. Ce risque englobe également les menaces externes, comme les cyberattaques, et les failles internes, telles qu’une sécurité physique inadéquate.

Le cadre proposé repose sur huit piliers fondamentaux : proportionnalité, gouvernance, gestion des risques TIC, sécurité de l’information, gestion des opérations TIC, gestion des projets et changements TIC, continuité des activités, et, pour les PSP, gestion des relations avec les utilisateurs de services de paiement. Ces piliers, appliqués selon le principe de proportionnalité, tiennent compte de la taille, de la complexité et des risques spécifiques de chaque établissement.

Proportionnalité et Gouvernance : une approche sur mesure

Le principe de proportionnalité garantit que les exigences s’adaptent à la taille et à la complexité des établissements. Une petite entreprise d’investissement n’aura pas les mêmes obligations qu’une grande banque, mais toutes doivent mettre en place une gouvernance solide. Cela inclut une stratégie TIC claire, des plans d’action pour atteindre les objectifs stratégiques, et une répartition précise des responsabilités au sein des organes de gestion. Les établissements doivent également veiller à l’efficacité des mesures de gestion des risques, y compris dans le cadre de l’externalisation, en définissant des contrats et des accords de niveau de service rigoureux.

Un cadre de gestion des risques TIC robuste

La gestion des risques TIC nécessite une approche structurée. Les établissements doivent cartographier leurs actifs d’information, identifier et classer les risques selon leur criticité, et mettre en œuvre des mesures pour les réduire à des niveaux acceptables. Une fonction de contrôle indépendante, distincte des opérations TIC, est chargée de superviser ce cadre et de rendre compte directement à l’organe de direction. Parallèlement, l’audit interne examine de manière objective la conformité des activités TIC aux politiques internes et aux exigences réglementaires.

Sécurité de l’information et opérations TIC

La sécurité de l’information est au cœur des orientations. Les établissements doivent adopter une politique de sécurité définissant des principes pour protéger la confidentialité, l’intégrité et la disponibilité des données. Cela inclut des contrôles d’accès logiques, des mesures de sécurité physique pour protéger les locaux et centres de données, et des programmes de sensibilisation pour le personnel. En parallèle, la gestion des opérations TIC repose sur des processus documentés, des plans de sauvegarde, et une surveillance rigoureuse du cycle de vie des actifs TIC.

Projets, changements et continuité des activités

Les projets TIC doivent être soutenus par une gouvernance claire, avec des processus pour évaluer, tester et approuver les changements avant leur mise en production. La continuité des activités, quant à elle, repose sur des plans d’intervention et de reprise testés régulièrement, ainsi que sur des stratégies de communication de crise efficaces. Ces mesures visent à minimiser les perturbations et à garantir la résilience des services.

Une attention particulière pour les PSP

Pour les Prestataires de services de paiement (PSP), les orientations EBA incluent des exigences spécifiques, comme la possibilité pour les utilisateurs de désactiver certaines fonctionnalités de paiement, de recevoir des alertes sur les transactions, et de bénéficier d’une assistance transparente. Ces mesures renforcent la confiance des utilisateurs dans les services de paiement.

L’Intégration en droit français : l’arrêté du 25 février 2021

En France, l’arrêté du 25 février 2021 a intégré les Orientations EBA/GL/2019/04 dans le Code monétaire et financier, via le titre VI bis (articles 270-1 à 270-5) de l’arrêté du 3 novembre 2014. Ces dispositions, applicables depuis le 28 juin 2021, renforcent le contrôle prudentiel des entreprises assujetties par l’ACPR. Elles imposent :

  1. Une stratégie informatique alignée sur les objectifs d’affaires, avec des ressources suffisantes pour les opérations, la sécurité et la continuité.

  2. Une gestion structurée du risque informatique, incluant l’identification, l’évaluation, la réduction et la surveillance des risques, en conformité avec les niveaux de contrôle interne définis par l’arrêté.

  3. Une politique de sécurité du système d’information, approuvée par les dirigeants et incluant des mesures physiques et logiques, ainsi qu’un programme annuel de sensibilisation.

  4. Des processus validés pour la gestion des opérations informatiques, avec une détection et une gestion efficace des incidents.

  5. Un cadre de conduite des projets TIC, garantissant un contrôle rigoureux des acquisitions, développements et changements informatiques.

Ces exigences soulignent la responsabilité accrue des dirigeants et des organes de surveillance dans la gestion des risques informatiques, marquant une évolution significative des pratiques de gouvernance.

Pourquoi les orientations EBA sont-elles ainsi importantes ?

Dans un contexte de digitalisation accélérée et de cybermenaces croissantes, les Orientations EBA/GL/2019/04 offrent un cadre essentiel pour renforcer la résilience des établissements financiers. Elles permettent non seulement de répondre aux attentes des régulateurs, mais aussi de protéger les données des clients et de garantir la continuité des services. En France, l’arrêté du 25 février 2021 ancre ces principes dans le droit national, imposant aux entreprises assujetties une approche proactive et structurée.

Pour les établissements, l’enjeu est double : se conformer aux exigences réglementaires tout en optimisant leurs processus internes. Cela nécessite des investissements dans les technologies, la formation du personnel, et une gouvernance renforcée. À long terme, ces efforts se traduiront par une meilleure résilience face aux risques TIC et une confiance accrue de la part des clients et des régulateurs.

En conclusion, les Orientations EBA/GL/2019/04, conjuguées à l’arrêté du 25 février 2021, marquent une étape décisive dans la modernisation de la gestion des risques TIC. Elles incitent les établissements financiers à adopter une approche stratégique et intégrée, essentielle pour naviguer dans un environnement numérique en constante évolution. Pour les professionnels du secteur, il s’agit d’une opportunité de repenser leurs pratiques et de renforcer leur position dans un marché de plus en plus exigeant.

gp@giovannellapolidoro.com

Leave a comment