L’expérience de l’Autorité de contrôle prudentiel et de résolution (ACPR) n’est pas nouvelle en matière de risque
Trois défis majeurs à surmonter
Le premier défi est celui de l’amélioration du cadre d’évaluation du risque informatique, ce qui inclut le risque cyber. Ces risques ne sont pas explicitement décrits dans les événements de risque opérationnel tels qu’ils ont été posés par le Comité de Bâle pour le contrôle bancaire. Un travail de définition et de catégorisation a donc été entrepris par les autorités ; l’ACPR a, par exemple, fait une proposition en ce sens en janvier
Le deuxième défi tient à l’exigence de garder une approche rationnelle dans la construction de l’environnement réglementaire du risque informatique. Il s’agit d’éviter la profusion de recommandations ou de textes réglementaires sur le risque informatique et la cybersécurité, qui engendre un risque de divergence entre
Enfin, c'est le troisième défi, il convient d’identifier les cybervulnérabilités du système financier pour éviter qu’elles ne soient exploitées à mauvais escient. Certaines le sont déjà, que l'on songe à :
- nombre de systèmes obsolètes qui ne peuvent être mis à jour, car ne bénéficiant plus de support de la part des prestataires et fournisseurs ;
- la difficulté à recruter des experts « cyber », du fait de tensions sur ce segment du marché de l’emploi ;
- la croissance du recours à l’externalisation et, dans certains services (cloud notamment), une concentration du risque sur un nombre restreint de prestataires.
Une stratégie dédiée en matière de supervision prudentielle
Le risque informatique a été érigé en priorité de contrôle dans les travaux de l’ACPR pour les secteurs de la banque et de l’assurance. Il s’agit de renforcer et affiner l’évaluation du profil de cyber-risque des institutions en développant les outils de reporting pertinents (rapports narratifs ou d’incidents, ou questionnaires notamment) qui s’inscrivent dans l’évolution du contrôle du risque opérationnel. En parallèle, les équipes de contrôle sur place procèdent à des contrôles approfondis des systèmes d’information des institutions et réalisent des tests d’intrusion en s’appuyant notamment sur le Computer Emergency Response Team de la Banque de France. Dans ce contexte, les informations demandées aux établissements et organismes augmentent, notamment dans le secteur de la banque, et les contrôles sur place s’intensifient. Cela s’inscrit dans un effort d’harmonisation européenne des pratiques et, pour le contrôle bancaire des principaux établissements, relève aussi de notre participation au Mécanisme de Supervision Unique (MSU) qui lui accorde également une attention majeure.
Ensuite il s’agit de travailler à l’adaptation de la réglementation et des « bonnes pratiques » d’encadrement du risque informatique au regard de l’ampleur qu’il a prise depuis plusieurs années. Cela revient à définir des exigences plus prescriptives (notamment en matière de contrôle interne et de résilience) que les dispositions générales et partielles du corpus normatif actuel, tout en conservant une approche « fondée sur des principes » laissant le choix aux institutions quant à leur organisation pour les respecter. Pour cela, nous sommes coauteurs des travaux européens et, notamment, des différentes orientations publiées par l’Autorité bancaire européenne (EBA) auxquelles nous nous conformons. En matière de « bonnes pratiques », l’ACPR a publié plusieurs documents à vocation pédagogique visant à exposer son approche du risque informatique pour aider les institutions supervisées – banques comme assureurs – à bâtir la leur (le dernier étant le Document de réflexion précédemment évoqué). Nous continuerons à influer sur les évolutions futures du cadre réglementaire et notamment celles qui répondront à la publication du rapport d’avril 2019 cosigné par les trois autorités européennes de supervision invitant la Commission à inclure dans les directives financières sectorielles des mesures en matière de
Pour terminer, il s’agit de renforcer notre niveau de coopération avec les différentes parties prenantes au sujet du risque informatique, pour influer sur les projets existants et rester en veille sur l’évolution du sujet. Notre participation aux travaux internationaux des normalisateurs (G7, FSB, BCBS ou IAIS notamment) s’inscrit dans cette optique, tout comme les accords de coopération (Memorandum of Understanding – MoU) que nous signons avec certaines autorités étrangères. Au niveau national, nous travaillons avec les autorités partenaires et notamment avec l'autorité nationale de sécurité et de défense des systèmes d'information (ANSSI), qui dispose de l’expertise technique et de la vision transsectorielle des problèmes de cybersécurité. Par ailleurs, nous mobilisons de plus en plus la Place, soit ponctuellement (consultation publique au sujet du Document de Réflexion ACPR de janvier 2019, exercice de simulation de gestion de crise de juin 2019 sous l’égide du G7…), soit plus institutionnellement (Groupe de Place
Une approche homogène entre les secteurs de la banque et de l’assurance
En tant qu’autorité intégrée, l’ACPR observe que, si le secteur bancaire et le secteur assurance ont pu avancer différemment sur la problématique du risque informatique, l’écart tend progressivement à diminuer et les deux secteurs disposent aussi de savoir-faire complémentaires en matière de gestion du risque.
En particulier, le secteur de l’assurance apporte au secteur financier dans son ensemble, et singulièrement au secteur bancaire, une offre de polices de cyberassurance utiles pour améliorer la résilience du secteur. Elle reste cependant peu utilisée pour l’instant par le secteur. D’après Marsh France, le volume total des primes relevant de ces prestations serait d’environ 80 millions d’euros au niveau national (tous secteurs clients confondus), ce qui est encore très faible.
