Le « coup de pouce » pour aligner stratégie et transparence
opérationnelle

Les institutions financières soumises au Digital Operational Resilience Act (DORA) ont jusqu’au dernier trimestre 2024 pour se préparer à leur mise en conformité. Ce « coup de pouce » réglementaire pourrait leur permettre de tirer parti des bouleversements induits par la pandémie et ce faisant, d’aligner stratégie et transparence opérationnelle dans un contexte de numérisation accélérée.

La résilience opérationnelle, et plus spécifiquement numérique, fait partie des objectifs stratégiques de l’horizon réglementaire international pour le secteur financier. Alors que les discussions politiques étaient déjà en cours, la pandémie de Covid-19 a rendu plus urgente la mitigation de ces risques opérationnels, amenant les banques à renforcer leur capacité à résister à des perturbations et des évènements potentiellement critiques, comme les pandémies, des cyberattaques, des défaillances dans les systèmes d’information, ou encore des catastrophes naturelles.

Dans ce contexte, DORA marque un changement de paradigme à la fois sur ce qui est supervisé, sur le comment de cette supervision, et dans le niveau de contrôle du risque lié à l’augmentation de l’usage des Technologies de l’information et la communication (TIC). DORA établit un cadre réglementaire harmonisé à l’échelle européenne pour la résilience opérationnelle numérique et introduit des exigences pour les acteurs définis comme des « entités financières », ainsi que pour les entreprises fournissant des services tiers dans le domaine des TIC, avec des règles et une surveillance supplémentaires à appliquer à celles qui sont définies comme des fournisseurs de services critiques.

Une entreprise « résiliente » au sens numérique peut s’adapter à l’évolution des conditions opérationnelles et se remettre d’une perturbation, même extrême, sans causer de dommages majeurs à ses clients, aux actionnaires et à l’intégrité du système financier dans son ensemble. Ces entreprises résilientes ont une connaissance approfondie de leurs propres systèmes opérationnels, et de leur écosystème numérique, ce qui leur permet d’adapter rapidement leurs processus métier avec un impact minimal sur leurs opérations.

Afin d’identifier, d’atténuer et de gérer les risques associés aux cyberattaques, à l’outsourcing et à la concentration des TIC, DORA impose aux entités financières de documenter de manière standardisée des exigences contractuelles spécifiques, d’établir un cadre de gestion des risques associés aux TIC, ainsi qu’un système de gestion de la sécurité de l’information, un plan de continuité des opérations, et un plan de reprise en cas de sinistre, dans le but de maîtriser les risques inhérents aux TIC. Le superviseur bancaire, quant à lui, devra approuver et examiner périodiquement le respect des règles édictées ci-dessus, avec une attention particulière accordée aux dispositions relatives à l’utilisation des services de TIC fournis par les acteurs tiers.

Pour les dirigeants du secteur désireux de saisir l’opportunité métier derrière la contrainte réglementaire, la réglementation a le potentiel d’apporter des avantages stratégiques, opérationnels et concurrentiels aux entités prêtes à embrasser son esprit, dans un but bien compris de croissance maîtrisée et durable.

L’avenir du secteur financier est numérique. Cette transformation a trop souvent été réduite au concept de changement technologique, là où elle traite, en réalité, de la réinvention verticale et horizontale de l’ensemble des strates de chaque entreprise de l’écosystème.

Cela dit, il y a des signes de progrès. Au cours de la troisième année d’une pandémie mondiale, les institutions financières semblent s’acclimater à un nouveau statu quo. Comme l’a fait remarquer Paolo Sironi, de l’IBM Institute of Business Value : « De nombreuses mesures temporaires mises en place sont désormais sur le point de devenir permanentes, et une nouvelle structure industrielle est en train d’émerger. Les banques font face à [...] la numérisation de bout en bout des opérations à l’échelle de l’entreprise pour permettre de nouveaux modèles d’affaires axés sur la clientèle, de nouveaux produits et services, de nouvelles façons de travailler et un écosystème de partenaires. La numérisation est essentielle pour répondre aux attentes des clients et pour alimenter le rendement financier entre les recettes, les coûts et le capital. »

Les technologies numériques ne peuvent servir les intérêts stratégiques qu’avec une adhésion effective et complète des dirigeants et avec des investissements sur le long terme. Cela signifie avoir le courage d’aborder les incohérences et points de friction au niveau de l’organisation, des processus, des données et de la dette technique de l’entreprise accumulée sur des années. Cela signifie avoir le courage de prendre des décisions difficiles et d’agir de manière concertée pour accompagner leur mise en œuvre.

L’erreur serait de penser que DORA ne concerne que l’IT ou des problèmes de cybersécurité, ou encore une simple isolation en pré-carré de la fonction risque. La réalité est que DORA doit constituer un effort dans la durée qui mobilise l’entreprise dans son ensemble, à l’instar de ce que devrait être la transformation digitale.

La pression régulatoire amenée par DORA est une opportunité pour les entités financières de mettre en lumière le fonctionnement de leurs services et technologies numériques, y compris le cloud. Afin d’assurer la résilience opérationnelle des systèmes numériques et la cohérence de l’ensemble, et en vue de servir leurs objectifs stratégiques, les dirigeants ont tout intérêt à redéfinir les priorités, et établir les plannings, l’allocation des ressources et les indicateurs de performance au niveau de l’entreprise.

La responsabilité de la mise en conformité avec les régulations prudentielles bancaires a eu tendance à devenir un mandat quelque peu passif des équipes de gestion des risques. DORA réoriente cette posture : le comité exécutif et les métiers prennent, eux aussi, un rôle plus actif en amenant l’entreprise à accroître sa résilience numérique. DORA incite les entités financières à l’introspection, les encourageant à « soulever le capot » et à plonger au cœur de leurs opérations numériques.

La tâche essentielle consiste à comprendre avec la plus grande clarté quels sont les processus métiers digitalisés les plus impactants pour la performance financière, les clients, et plus globalement la stabilité du secteur, quand les conditions sont favorables, mais aussi – et surtout – en cas de perturbation du déroulement des opérations.

Très peu d’entités financières sont bien dotées lorsqu’il s’agit de représenter graphiquement l’architecture de leur entreprise : la cartographie de ces systèmes est complexe et les ressources nécessaires pour y travailler sont difficiles à trouver. Cependant, cet effort peut s’avérer extrêmement rentable : une image vaut mieux que mille mots. Des illustrations graphiques, partageables et multi-dimensionnelles – où les équipes, les processus, les données et la technologie se combinent et se chevauchent – constituent un atout majeur pour identifier, mobiliser et orchestrer les ressources dans des lignes métiers distinctes et souvent organisées en silo. Les collaborateurs peuvent appréhender les intrications stratégiques des unes avec les autres. Les représentations visuelles mettent en évidence à la fois les synergies structurelles et les opportunités de collaboration, de rationalisation, et d’optimisation demeurées masquées jusque-là – toutes dans le but d’optimiser la résilience de l’entreprise.

Dès lors que le statu quo est établi et la trajectoire vers la cible définie, le jalon suivant est la coordination des ressources et la déconstruction des silos organisationnels par une gestion de projet engagée et soutenue par les dirigeants. DORA doit être un enjeu pour tous et pour cela, les dirigeants doivent établir de manière limpide les responsabilités des uns et des autres afin de faire bouger les lignes.

La demande croissante pour des services numériques émanant des clients du profil « millenium » et de la GenZ a un impact majeur sur les opérations du secteur financier. La préférence des clients pour les services bancaires et assurantiels disponibles en mode omnicanal a accéléré l’adoption de technologies numériques désormais en passe de révolutionner les concepts fondamentaux du fonctionnement du secteur.

Pour embrasser les enjeux numériques, clés de leur réussite, les institutions financières adoptent des technologies exponentielles comme le cloud hybride, l’intelligence artificielle (IA) et l’automatisation, de manière à infuser leur fonctionnement de capacités numériques, avec l’appui d’un écosystème de partenaires.

Bien menée, la transformation digitale est garante d’une grande satisfaction client. Dans ce contexte, les dirigeants devraient considérer DORA comme un accélérateur de la satisfaction client par le biais de la fiabilité et de l’intégrité des services qui, par extension, renforce la robustesse de leur modèle économique. Les entités financières qui établiront durablement un lien de confiance avec leurs clients tireront leur épingle du jeu. La résilience opérationnelle digitale est au cœur de cette course.

Loin d’être un exercice de conformité en mode « case à cocher », les impératifs de DORA sont intrusifs et concernent l’organisation dans son ensemble. Face à un enjeu d’une telle envergure, il est essentiel de se doter du bon état d’esprit, d’une culture « d’entreprise apprenante », d’une gouvernance robuste pour inciter les entités métier à collaborer entre elles et pour susciter un engagement des collaborateurs en dépit d’organisations cloisonnées.

Certaines entreprises pourraient céder à la tentation d’une approche de mise en conformité minimaliste, mais ce serait à l’évidence une opportunité gâchée. S’aligner sur l’esprit et les objectifs de DORA renforcera la cohérence entre la stratégie, le modèle opérationnel, la gouvernance, et l’appétit à l’égard du risque des entités financières, tout en leur ouvrant la possibilité d’itérer sur leur modèle en concertation avec leur superviseur et en veillant à respecter les attentes et les besoins des clients.

Pour cette raison, chaque programme DORA doit être lancé et suivi par les plus hauts dirigeants et le comité exécutif qui, eux, communiquent une vision claire et donnent les lignes directrices aux équipes opérationnelles et projet. Et là commence le voyage... n