En effet, cette circulaire met en lumière des dimensions particulièrement intéressantes pour affronter les nouveaux risques opérationnels et renforcer la résilience des banques, notamment par la gestion des risques TIC, des données critiques ou des risques cyber.
L’esprit de la lettre
La circulaire 2023/1 s’applique aux banques, aux personnes, aux maisons de titres, aux établissements/groupes/conglomérats financiers et s’appuie sur les principes de la séparation des fonctions, de gestion des risques et de contrôle interne de l’ordonnance sur les banques et de l’ordonnance sur les établissements financiers. Elle se nourrit aussi des principes du Comité de Bâle pour une gestion systématique des risques opérationnels et de la résilience opérationnelle.
Elle énumère des principes qui forment une architecture cohérente avec une dépendance des différents éléments constitutifs les uns par rapport aux autres. Les principes directeurs sont : la proportionnalité (taille et complexité de la structure et profil de risque de l’établissement), la gestion globale des risques opérationnels, la gestion des risques des technologies de l’information (TIC), la gestion des cyber risques, la gestion des données critiques, le Business Continuity Management (BCM) et la gestion des risques liés aux activités transfrontalières.
Le chapitre V rappelle le devoir de garantir la résilience opérationnelle et le reste de la circulaire traite brièvement du maintien des prestations critiques lors de la liquidation et de l’assainissement des banques d’importance systémique et des dispositions transitoires.
Le rôle fondamental des données critiques et de la gouvernance
La FINMA a mis l’accent sur la notion de données critiques, qu’elle décrit comme « importantes pour la prestation réussie et durable des services de l’établissement ou à des fins réglementaires ». Elles sont à mettre en regard des fonctions et des processus clés de la banque ainsi que des risques opérationnels associés. Cette notion est assortie du devoir d’assurer la confidentialité, l’intégrité et de la disponibilité de ces données. Nous avons pu constater que peu d’autorités de régulation dans le monde ont été aussi explicites sur ce sujet. Cela nous semble très pertinent dans la mesure ou les banques traitent de plus en plus de données et d’actifs numériques immatériels, internes et externes.
Dans la pratique, en accompagnant nos clients, nous avons pu mesurer le rôle pivot de ces données critiques mais aussi la complexité de les identifier et de les sélectionner de manière homogène au travers des différentes fonctions et processus d’une banque. Cette complexité trouve sa source dans le fait d’appréhender et de s’approprier cette nouvelle notion de manière uniforme au sein de l’établissement et d’établir une méthode « d’écrémage » pour éviter la génération d’un trop grand volume de donnée. En effet, au-delà de l’identification, il faut pouvoir gérer l’ensemble du cycle de vie des données critiques en cohérence avec la gestion du risque (catégorisation, classification, surveillance) en les intégrant dans la gouvernance des données plus globale. Les implications de ce nouvel impératif sont profondes et doivent être répercutées jusque dans le système d’information de la banque ainsi que dans ses systèmes de cyberdéfense.
Un défi supplémentaire consiste à exploiter efficacement la dynamique des données établie pour servir les intérêts commerciaux, c'est-à-dire à harmoniser les efforts de mise en conformité avec les exigences en matière de données exprimées par les différente métiers de la banque.
Les facteurs clés de succès
En premier lieu, la réussite de ce type d’initiative repose sur un sponsorship fort, à haut niveau qui permet de piloter la progression et de mobiliser les différents départements et ressources requises dans des délais restreints. Le comité de pilotage doit aussi avoir une capacité de décision pour arbitrer des problématiques, notamment organisationnelles qui traversent les départements de la banque.
En second lieu, il est crucial de ne pas négliger la phase d’acculturation des équipes impliquées dans l’initiative pour assurer une bonne compréhension des nouveaux enjeux et leur permettre d’acquérir les fondamentaux, notamment liés à la gouvernance des données. Cela prend du temps au démarrage mais cela permet d’accélérer ensuite. A défaut, c’est souvent un facteur d’échec.
Enfin, il est important de déployer des frameworks qui maintiennent, par leur structure, une forte cohérence entre les différents blocs (ex. données critiques – risques – sécurité) tout en gardant de l’agilité. A la faveur de nos différentes missions pour des banques en Suisse, nous avons pu capitaliser sur ces expériences et produire les outils et les méthodologies qui garantissent cela. A la clé, cela permet un guidage flexible de l’initiative qui permet de s’adapter au contexte spécifique de la banque.
Ainsi, la portée de la circulaire FINMA 2023/1 ne s’arrêtera pas le 1er janvier 2024. Elle s’étendra - selon les échéances de la circulaire en 2025 et 2026 – sur les prochaines années avec la nécessité pour les banques de tenir la distance et de maintenir une gouvernance toujours plus fine de leur patrimoine informationnel lié aux données critiques. Cela représentera un levier majeur pour les aider à réaliser les transformations colossales qu’elles mettent en œuvre pour adresser les défis actuels et futurs.
Contacts :
Nicolas CAMBOLIN – Partner, Global Director Data Intelligence
Yann LEBLEVEC – Director Data Intelligence Consulting EMEA
Patrice FERRAGUT – Data Intelligence CH Pratice Lead