DORA : le nouvel enjeu de la résilience bancaire ! 💪

Depuis la crise économique de 2008, le secteur bancaire a suivi un rythme soutenu de transformation digitale en se concentrant sur la gestion des risques, la conformité et le digital orienté client. Aujourd'hui, alors que le secteur fait face à de nouvelles crises et relève des défis tactiques, les banques doivent gérer des changements fondamentaux dans leur infrastructure. 

La crise a révélé la valeur des technologies qui permettent à l'économie de fonctionner à distance et de surmonter partiellement la distanciation sociale. Des changements aussi radicaux dans les modes de travail ou de consommation, comme l’adoption spectaculaire de l’achat en ligne, auront un impact durable sur les relations économiques. La bonne nouvelle est que le système bancaire de la zone euro a su faire preuve de résilience face à la pandémie : selon une étude McKinsey, les banques ont abordé la crise, généralement bien capitalisées, et sont bien plus résilientes qu’il y a douze ans. 

Si cette situation semble rassurante pour l’instant, elle pourrait ne pas être suffisante pour l'avenir. Ces dernières années, les pannes de système et les cyber-menaces généralisées, ainsi que les effets de la pandémie de Covid-19 ont placé la résilience opérationnelle en tête de liste des priorités des régulateurs financiers. 

DORA : de nouveaux enjeux pour de nouvelles responsabilités 👨‍💻

Le 24 septembre 2020, la Commission Européenne a publié un projet de loi sur la résilience opérationnelle digitale (DORA). Cette proposition législative est basée sur les règlements européens existants en matière de gestion des risques qui ont un impact sur les technologies de l'information et de la communication (TIC). Elle devrait entrer en vigueur au cours du premier semestre 2022. 

Avec DORA, l’UE continue de mettre en place un cadre de surveillance des risques liés aux technologies de l’information et de la communication (TIC) des banques, y compris les fournisseurs de services tiers critiques. Si le rythme rapide de l’innovation digitale a profité aux clients des services financiers, il a également introduit de nouveaux risques opérationnels et systémiques liés à un paysage de fournisseurs hautement connectés. Comme l’a dit Joachim Wuermeling, Membre du conseil d’administration de la Deutsche Bundesbank, l’objectif principal de DORA est “d’apporter des règles et une surveillance cohérentes apparemment sans limites au-delà du cloud”. Et DORA peut servir de modèle réglementaire à d’autres pays pour limiter les risques associés à des opérations de plus en plus digitales. 

La résilience opérationnelle n’est pourtant pas une option pour les banques, et cela s’observe dans leurs dépenses. Certaines grandes banques investissent chaque année des centaines de millions d'euros pour la cyber-sécurité, cette somme ayant plus que doublé depuis 2015 dans certains cas. Cette trajectoire se poursuivra probablement dans un avenir proche avec des taux de croissance annuels d’environ 10%. Une part considérable ira dans la sécurité du cloud, reflétant le passage des business models bancaires dans le cloud. Le « back office » ne suit pas et les banques sont confrontées à de nombreux problèmes dont celui du coût des services rendus et de la rentabilité. 

En effet, les institutions financières ont tendance à externaliser une grande partie de leur informatique et à gérer des architectures complexes. Par exemple, la majorité des grandes institutions financières supervisées par la Banque Centrale Européenne dotées d’une informatique fortement personnalisée ont indiqué qu’elles sous-traitent une grande partie des services clés à des prestataires de services tiers : 

• 5% des configurations mineurs sont à la charge de tiers 
• 20% pour de la personnalisation de services financiers
• 45% pour de la personnalisation de services réglementaires et comptables 
• 30% sur de l'architecture IT et ses propriétés

L’accent mis par DORA sur la gestion des risques de tiers souligne la nécessité d’adopter une approche plus holistique au-delà des processus et systèmes internes. Bien que nous nous concentrons ici sur les banques, DORA s’appliquera à l’ensemble des acteurs des services financiers - non seulement les établissements de crédit et de prêt, mais également les établissements de paiement et de monnaie électronique, les entreprises d’investissement, les sociétés d’assurance et de réassurance, ainsi que les prestataires de services tiers. 

Actuellement, la directive est encore un projet en consultation avec une adoption formelle prévue pour fin 2022 et une mise en œuvre finale d’ici 2024. Elle comprend des exigences dans 5 domaines principaux : 

• Gestion des risques TIC : le risque opérationnel englobe largement les facteurs de risques liés aux employés, aux processus et à la technologie d’une banque. Pour se conformer à DORA, les institutions financières doivent maintenir une résilience opérationnelle digitale, avec une définition du risque élargie et plus granulaire qui inclut les dysfonctionnements, les dépassements de capacités, les défaillances, les perturbations, les déficiences, les abus ou encore les pertes.
• Rapports d'incidents TIC : les institutions financières doivent déjà collecter des données sur les incidents majeurs liés aux TIC, les signaler aux autorités et agir en fonction des informations fournies par les superviseurs. Sous DORA, ils doivent étendre cela aux incidents au sein de tiers critiques. Nous nous attendons à ce que ce changement augmente considérablement le volume de problèmes à signaler.
• Tests de résilience opérationnelle digitaux : les institutions financières effectueront ces tests, avec des tests de pénétrations plus larges axés sur les menaces, y compris des fournisseurs de services tiers, pour aider à évaluer si leur cyber-sécurité est adaptée à l’objectif. Cela nécessitera un examen en continu, compte tenu de l’évolution rapide de la nature des menaces. 
• Gestion des risques tiers TIC : les fournisseurs tiers critiques doivent être tenus responsables de la fourniture de services conformes à DORA, ce qui pourrait obliger les institutions financières à renégocier des contrats ou à changer de fournisseur. Il est probable que certains fournisseurs augmenteront leurs prix pour récupérer les implications financières de DORA.
• Veille et partage de l'information : DORA encourage les institutions financières à partager volontairement les renseignements sur les cyber-menaces dans l’ensemble du secteur des services financiers.

Les banques ont trois options sur la conformité DORA 👇

Certaines pourraient choisir de rien faire jusqu’à ce que DORA entre en vigueur, puis de gérer tout changement par le biais de processus comme d'habitude. La logique commune est de minimiser les dépenses courantes et de limiter les distractions. Mais les compromis incluent un risque opérationnel peut être plus élevé, une plus grande exposition aux mesures réglementaires et un potentiel plus élevé de problèmes complexes devant être résolus sous la surveillance étroite des régulateurs, peut être dans un délai serré imposé, tout cela constitue une potentielle occasion majeure ratée. 

D’autres banques mettront en œuvre des changements tactiques dans des domaines présentant des lacunes connues, comme la gestion des risques liés aux tiers. Cette approche pourrait apporter des améliorations tangibles dans les domaines de la résilience opérationnelle et, si elle commence maintenant, donnera le temps de traiter correctement ces domaines complexes. Cependant, cela ne traiterait pas complètement DORA, laissant certaines exigences à traiter dans des délais courts avec des solutions moins idéales. 

Les institutions plus audacieuses choisiront de saisir l’occasion pour s’attaquer aux problèmes sous-jacents plus profonds qui augmentent les risques et les coûts aujourd’hui et chercheront à réviser une partie ou la totalité de leurs programmes de risques et de conformité pour construire une organisation plus forte et plus efficace. Certes, une portée plus large augmentera la complexité à court terme et exposera les obstacles internes au changement. Pourtant, cette approche garantit non seulement que la résilience opérationnelle sera vraiment adaptée à son objectif, mais elle offre également des avantages en matière de coûts grâce à des solutions plus efficaces et complètes. 

Les banques se sont déjà trouvées dans des situations similaires avec des initiatives réglementaires telles que le règlement général sur la protection des données (RGPD) et la directive sur les services de paiement (DSP2). Alors que certaines institutions financières ont traité ces changements comme un exercice de conformité technique, les leaders innovants ont adopté une vision plus stratégique, leur permettant de développer des capacités différenciées en matière d'analyse de données et de business models basés sur des plateformes technologiques. Avec DORA, les retardataires du passé pourraient tomber dans le même piège. 

La résilience par l'innovation ☁️

Les avantages stratégiques à plus long terme de la transformation digitale l’emportent de loin sur les risques, à condition que les banques utilisent la technologie pour gérer les risques et améliorer la résilience globale tout en réduisant les redondances et les formalités administratives. L’un des ingrédients consistera à établir des processus agiles et allégés qui utilisent l’automatisation. Des essais d’automatisation rapides ont prouvé que l'automatisation des processus de bout en bout, qui prenait auparavant de 12 à 18 mois, est réalisable en 6 mois, et avec la moitié de l'investissement généralement requis. Une autre implique la collaboration entre les fonctions internes ainsi que les partenaires externes et les fournisseurs de technologies. 

Les banques doivent aussi maintenir leurs efforts de modernisation et de transformation digitale afin d’être en mesure de répondre aux défis du futur. A ce titre, une enquête menée par IDC a montré que les institutions qui avaient déjà investi dans des technologies comme le cloud, les architectures API ouvertes, l'IA, la sécurité et la mobilité, ont pu mieux résister à la tempête COVID-19 que leurs pairs. Elles se sont aussi rétablies plus rapidement. 

Le règlement DORA représente ainsi une opportunité pour les banques de se renouveler en visant un objectif précis : favoriser un effort stratégique pour améliorer efficacement la résilience. 

Les solutions de type Core Banking Platform dans le cloud permettent de répondre à ces nouveaux enjeux de résilience bancaire. Réduction des coûts, meilleure réactivité, personnalisation de l’expérience utilisateur et intégration simplifiée avec l’ensemble des applications tierces… Les arguments en faveur des CBP ne manquent pas et expliquent leur succès. Soucieux d’accompagner la transformation digitale des acteurs bancaires, des néo-banques et des fintech, Skaleet propose un Core Banking Platform (CBP), c’est-à-dire « cloud natif », agile et évolutive. Face à ce nouveau contexte, le CBP offre aux institutions financières la possibilité de répondre et d'évoluer constamment face aux enjeux de résilience et de conformité. Il n’est pas trop tard pour garder l’avantage !