Aux débuts de la banque moderne (initiée avec la Loi bancaire de 1984), le reporting réglementaire transmis aux autorités de supervision portait sur des agrégats comptables, préalablement publiés au marché. Le support de reporting, sur papier ou dans des formats électroniques propriétaires peu structurés, réduisait les risques d’interception.
Au fil des nouvelles exigences et réglementations, les données envoyées sont plus détaillées, et peuvent désormais contenir des séquences dont la granularité explicite clairement les informations de chaque contrat. Ainsi, par exemple, les Grands Risques dans COREP ou certains états de suivi additionnel de la liquidité (ALMM) désignent nominativement les contreparties ; les déclarations statistiques ANACREDIT donnent l’état des prêts pour chaque entreprise cliente – les prêts aux particuliers n’étant pas encore collectés à ce jour. Les états prudentiels sont par ailleurs envoyés rapidement : FINREP et COREP à produire le 11 février sur l’échéance annuelle sont souvent transmis au superviseur avant l’assemblée générale. De plus, les formats électroniques de stockage et d’envoi des données sont de plus en plus uniformisés sur demande des superviseurs, afin de faciliter les études comparatives. Malheureusement, cela favorise une industrialisation des cyberattaques.
Un périmètre élargi
et une granularité plus fine
Ainsi, l’enjeu de sécurité de données prudentielles a pris de l’ampleur. Les banques doivent protéger d’un accès illicite ces informations privées sur leur stratégie ou sur leurs clients. L’enjeu de résilience ne pourra que s’accroître : les projets de reportings intégrés annoncés par la Banque Centrale Européenne (IreF – Integrated Reporting Framework) et l’Autorité bancaire européenne (IRS – Integrated Reporting System) visent un envoi généralisé des données contrat par contrat, ce qui signifie que l’identité et les positions du client y sont dévoilées. Les informations, collectées nationalement, sont centralisées au niveau européen avec désormais l’idée de les rassembler au plus tôt, dans un portail unique de déclaration. Cette concentration des données les rend plus vulnérables à une fuite, et leur altération peut avoir des impacts d’autant plus importants. Enfin, le suivi des risques environnementaux, sociaux et de gouvernance (ESG) va exiger, au-delà des données financières et de qualité de crédit des clients aujourd’hui considérées, une connaissance détaillée de leurs projets et activités pour mesurer leurs impacts. Ce sont d’autant plus de renseignements à inclure dans le périmètre des données traitées et déclarées.
Après avoir travaillé sur la qualité des données sur les risques, au regard des principes d’exactitude, de complétude, de fraîcheur et d’adaptabilité édictés par le Comité de Bâle dans BCBS 239, les banques – et en particulier leur Chief Data Officer – se penchent sur leur intégrité, mais aussi leur résilience et sécurité.
L’intégrité des données fait partie des principes de BCBS 239, mais a souvent été étudiée uniquement sous l’angle de la cohérence interne avec les autres données et de la surveillance au cours de différents traitements du système d’information, qui ne doivent pas l’altérer. Il faut également veiller à ce qu’une intervention malveillante ne les transforme pas. Quel serait en effet l’impact d’une déclaration faussée des ratios prudentiels sur les décisions de supervision et de résolution ? Ou celui d’une manipulation des données d’un client sur les choix d’investissement ?
La question de la cybersécurité n’est pas directement abordée par BCBS 239, même si le principe de distribution appelle à la confidentialité des données de reporting. L’information rassemblée pour les besoins prudentiels ne doit pas être divulguée en dehors du circuit réglementaire.
Des pratiques déjà en place
Les établissements ont d’ores et déjà prévu des stratégies de protection de leurs données statistiques et réglementaires. Une première pratique porte sur l’anonymisation des données. Elle s’est accélérée avec la mise en place de la réglementation GDPR et se fait soit dès le stockage des données (en séparant les informations nominatives critiques), soit au terme d’une durée de stockage prédéfinie. Elle peut aussi être mise en œuvre à la suite d’un changement important, comme la fin d’un contrat.
De façon plus flexible, la centralisation des processus d’authentification et de gestion des accès informatiques renforce la sécurité des données. Elle aide à la résolution des problèmes dus aux attaques, car elle permet d’identifier plus rapidement les brèches de sécurité et de les colmater.
Pour aller plus loin, on pourrait amplifier l’usage des clés cryptées dans les échanges, depuis la collecte et le stockage par les banques jusqu’aux systèmes des régulateurs. Ainsi pour chaque rapport envoyé, on maintient le principe d’un format unique. Mais la donnée n’est lisible que par les utilisateurs habilités disposant d’une clé de décryptage. Cette clé serait elle-même accessible par le biais d’un processus d’authentification. Cela créerait des ralentissements à court terme, mais l’avènement des ordinateurs quantiques et nanoprocesseurs rend cette solution envisageable, et potentiellement ESG-compatible, les technologies modernes étant conçues pour être moins consommatrices d’énergie.
La sécurité des données ne peut néanmoins jamais être garantie sans assurer la formation des collaborateurs sur les bonnes pratiques à suivre pour réduire les cyberattaques. En effet tout collaborateur ignorant ces règles constitue une menace potentielle. Malheureusement, l’engouement pour ce point n’est pas toujours prépondérant car les retombées ne sont pas immédiates.
Bâle IV – et sa déclinaison dans l’Union européenne prévue par le Paquet bancaire CRD6/CRR3 – est en ligne de mire pour 2025. La réforme comprend un chantier important sur les nouvelles données à prévoir, pour le calcul des risques financiers comme pour l’anticipation des exigences ESG. La question de la sécurité des données et de reporting prudentiel fait partie intégrante de ce chantier. Aussi, un contrôle plus accru tant des données que de la gouvernance inhérente est désormais requis.
