À la Banque de France,
la gestion d’un risque
pour tous

L’évaluation et le développement de la capacité du système financier à résister aux chocs, ce qu’on appelle la résilience, sont des préoccupations importantes pour la Banque de France, du fait du mandat qui lui a été confié de veiller à la stabilité financière.

Dans ce cadre, les sources opérationnelles de risque pour la résilience de notre système financier ont pris au cours de la période récente une importance majeure, sous l’effet de trois vecteurs en particulier : l’interconnexion croissante des intermédiaires financiers, la place prise par les technologies et les systèmes d’information dans leur fonctionnement, enfin la matérialisation de risques à probabilité faible et de portée globale, avec la succession d’une crise sanitaire suivie d’un conflit militaire entre la Russie et l’Ukraine qui pourrait se développer dans l’espace cyber.

En interne, cela se traduit par la prise en compte de ce critère dans nos processus sensibles pour le bon fonctionnement du système financier, au même titre que la performance, la qualité et la maîtrise des coûts. Cette prise en compte repose sur une approche très décentralisée qui, seule, peut mobiliser le management de proximité, avec un support central piloté à haut niveau et portant sur une assistance aux opérationnels dans un cadre simple et lisible. Il s’agit, notamment, de mettre à leur disposition :

– un référentiel documentaire à partir duquel les délais d’interruption moyens admis (DIMA) pourront être évalués de façon homogène et les plans de continuité d’activité (PCA) pourront être décrits dans une perspective de mise en cohérence et de hiérarchisation ;

– un cadre de constitution des « mallettes de crise » où sont conservés, sous un format et dans un environnement toujours disponibles, les éléments indispensables à la gestion des crises ;

– un ensemble de termes de référence facilement mobilisables pour organiser efficacement une communication en situation de crise.

Dans ce cadre, les fonctions transversales jouent naturellement un rôle central. Si la continuité informatique est présente dans tous les esprits – au-delà des datacenters, elle doit couvrir également les postes de travail et les autres éléments d’architecture décentralisés –, il importe également de ne pas négliger les environnements immobiliers qui incluent, notamment, les sources d’approvisionnement énergétique. Le recours massif au télétravail a été une réponse optimale à la crise sanitaire, mais d’autres types de crise pourraient nécessiter la mobilisation instantanée de locaux parfaitement opérationnels et sécurisés.

L’actualité du conflit militaire entre la Russie et l’Ukraine nous a néanmoins conduits à porter une attention renforcée au risque de cyberattaque dans un cadre étroitement concerté avec le Secrétariat général de la défense et de la sécurité nationale (SGDSN) et, plus directement, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) qui lui est rattachée. La gestion du risque cyber mobilise des experts et des technologies spécifiques qui œuvrent dans une organisation opérant une distinction claire entre les équipes qui ont la responsabilité de prescrire les règles ou pratiques à mettre en œuvre et celles qui doivent les implémenter. Le corps de contrôle interne s’assure, pour sa part, du respect des prescriptions. Soulignons que la gestion du risque cyber est l’affaire de tous, notamment pour ce qui est du comportement de chaque collaborateur face au risque de phishing. Des actions de sensibilisation et de promotion des bonnes pratiques sont donc régulièrement conduites auprès de l’ensemble des agents de la Banque.

Mais au-delà d’une bonne organisation, d’une documentation régulièrement actualisée et facilement accessible, de mesures techniques appropriées, de mobilisation du management et de pédagogie à destination de tous les collaborateurs, la résilience requiert la réalisation très régulière, et de façon aussi inopinée que possible, d’exercices de simulation de crise dont les enseignements constituent d’indéniables sources de progrès. C’est juste la mise en œuvre du principe du « learning by doing » !

La complexification des sources et l’amplification de la portée systémique des risques opérationnels nous ont ainsi conduits, au cours de la période récente, à revoir et à renforcer notre programme annuel de tests internes.

La contribution de la Banque de France à la prévention et la gestion des crises systémiques de source opérationnelle, qui a été fortement renforcée au cours des dernières années, s’appuie sur plusieurs dispositifs, tant micro- que macroprudentiels.

Au niveau micro-prudentiel, la Banque de France a participé, lors de la présidence française de l’Union européenne, à l’élaboration du cadre réglementaire visant à assurer la résilience opérationnelle numérique marquée, en particulier, par l’entrée en vigueur du règlement DORA (pour Digital Operational Resilience Act). Son objectif étant de rationaliser le cadre réglementaire européen existant sur la résilience opérationnelle pour le secteur financier, marqué à la fois par des lacunes et par des chevauchements entre textes européens et nationaux, DORA est une avancée législative majeure. Elle vient en particulier préciser pour le secteur financier le cadre de la directive NIS (Network and Information System Security), dont la révision, dite NIS2, entrera en vigueur en parallèle de DORA.

En sus de DORA, toujours à l’échelle européenne, le Comité européen du risque systémique (CERS), dont la Banque de France est membre, a inclus dans ses travaux les facteurs d’atténuation pouvant limiter la portée systémique du cyber-risque. En particulier, le CERS a publié fin janvier 2022 une recommandation en vue de l’établissement d’un dispositif de coordination des incidents cyber-systémiques à l’échelle paneuropéenne (EU-SCICF).

Les équipes de l’ACPR jouent également un rôle moteur, au sein du Mécanisme de surveillance unique (MSU), pour la mise à jour de sa méthodologie de contrôle du risque informatique qui s’appliquera aux principales banques européennes, tout en cherchant à harmoniser les pratiques de contrôle du risque informatique des établissements qui restent supervisés par les autorités nationales. À ce titre, au niveau national, la réglementation française a été adaptée à ces nouvelles dispositions européennes, notamment à travers la publication de l’arrêté du 22 février 2021, qui modifie l’arrêté du 3 novembre 2014 sur le contrôle interne et qui a permis de réaffirmer la place du risque informatique au sein du risque opérationnel. L’ACPR a par ailleurs publié, à l’été 2021, plusieurs notices sectorielles (banque et assurance) relatives à la gestion du risque informatique.

Au niveau macroprudentiel, pour aider à prévenir les crises, la Banque de France a développé un diagnostic sur les vulnérabilités et la résilience du système financier dans son ensemble. Ce diagnostic est publié tous les semestres et constitue une base importante des discussions et décisions du Haut Conseil de stabilité financière. La dernière édition, parue en juin 2022, souligne ainsi la vulnérabilité accrue au risque cyber et la nécessité de mener des actions de prévention.

La Banque de France met également en œuvre une approche très concrète de Place pour la prévention et la gestion des crises opérationnelles. Elle coordonne ainsi des travaux collectifs, via le Groupe de Place Robustesse (GPR) qu’elle préside, et effectue des exercices de simulation de crises systémiques.

Le GPR est composé des principaux groupes bancaires et infrastructures de marché de la Place, ainsi que des autorités financières et des services de l’État. Il établit des scénarios de crise qui sont ancrés dans le réel : cyberattaque, catastrophe naturelle, défaillance d’un prestataire critique ou encore pandémie.

Le dispositif de gestion de crise du GPR s’appuie sur des cellules de crise de Place spécialisées (liquidité, fiduciaire et communication) et sur l’organisation régulière d’exercices de simulation de crise ; les derniers en date portaient sur une cyberattaque et ses conséquences (2019 et 2021), la survenue d’une crue majeure en Île-de-France (2016).

Pour autant, l’entretien et l’amélioration des capacités de prévention et de gestion des crises de portée systémique d’origine opérationnelle appellent un renforcement des tests et de la coordination au niveau international. Dans cette perspective, à l’initiative de la Banque de France, un exercice impliquant 24 autorités financières (banques centrales, ministères des Finances, superviseurs bancaires et autorités des marchés) et des acteurs du secteur privé a été organisé en 2019, lors de la présidence française du G-7, pour tester la capacité de coordination internationale et assurer une réponse et une reprise coordonnées des services en cas d’incident cyber mondial affectant le secteur financier. Cet exercice a été complété par d’autres plus ciblés en 2020, 2021 et 2022. Un nouvel exercice G-7 de grande ampleur sera organisé en 2024, ouvrant un nouveau cycle d’exercices destinés à renforcer continuellement notre résilience collective face à une menace croissante.