Le prochain objectif de la FCA est la résilience opérationnelle

Attendez-vous à des annonces prochaines de la FCA sur l'un des thèmes les plus actuels et les plus prioritaires - la résilience opérationnelle.

Conjointement avec la Prudential Regulation Authority et la Banque d'Angleterre, la Financial Conduct Authority a publié en juillet un document de discussion qui a été clôturé le 5 octobre. Les entreprises de services financiers ont été invitées à présenter les moyens par lesquels elles espèrent pouvoir gérer les risques susceptibles d'endommager gravement leurs activités et la manière dont elles minimiseront l'impact sur les clients.

Les régulateurs estiment que la résilience opérationnelle représente un risque pour la fourniture de services essentiels dont dépend l'économie, menace la viabilité des entreprises et porte préjudice aux consommateurs et aux autres entreprises.

Les régulateurs souhaitent que les entreprises améliorent leur capacité à résister, absorber et se remettre d'incidents perturbateurs. Ils souhaitent également que les entreprises gèrent efficacement les incidents, en particulier lorsque les clients sont touchés.

Définir le problème

La résilience opérationnelle est définie comme "la capacité des entreprises et du système financier dans son ensemble à absorber les chocs et à s'y adapter, plutôt qu'à y contribuer". Les régulateurs souhaitent que cette capacité fasse partie intégrante de la stratégie globale des entreprises afin qu'elles puissent continuer à fournir des "fonctions économiques essentielles" à l'économie britannique et à leurs clients.

Les banques sont la cible principale des travaux de réglementation dans ce domaine, car les pannes des services bancaires en ligne, en particulier, entraînent des perturbations généralisées. Barclays et RBS Group ont été dans la ligne de mire récemment, lorsque des clients n'ont pas pu accéder à leurs comptes lors d'incidents survenus en septembre. Le Treasury Select Committee a demandé aux banques de fournir des détails complets sur les causes de ces événements et sur la manière dont les clients seront dédommagés.

En outre, le comité de politique financière de la Banque d'Angleterre fixe des normes concernant la rapidité avec laquelle les banques doivent être en mesure de rétablir les services vitaux à la suite d'une cyberattaque et il effectuera également des tests de résistance pour vérifier que ces normes peuvent être respectées.

Mais la résilience opérationnelle est nécessaire dans tout le secteur des services financiers et le vol de données, par exemple, affectant un assureur ou une société de cartes de crédit, serait considéré avec la même sévérité.

Que faut-il faire ?

Tout d'abord, les régulateurs s'attendent à ce que la résilience opérationnelle soit une priorité pour les conseils d'administration et les cadres supérieurs, en plus de leurs conseillers en matière de risque opérationnel. Ils devraient également s'efforcer de convenir d'une "tolérance d'impact", c'est-à-dire d'une limite supérieure pour l'impact sur les services commerciaux qu'une entreprise est prête à tolérer, à la suite d'une perturbation opérationnelle "grave mais plausible". Cette limite devrait être exprimée sous la forme d'un ensemble de paramètres spécifiques sur la durée, le volume ou la nature d'une perturbation. Les entreprises doivent également

• prévoir les événements perturbateurs tout en cherchant à les prévenir
• se concentrer sur l'impact plus large des événements perturbateurs, et pas seulement sur la restauration des systèmes et des processus
• mettre en correspondance les produits et services avec les systèmes et processus sous-jacents
• identifier l'impact probable sur les clients et les acteurs du marché et sur la viabilité de l'entreprise elle-même
• classer par ordre de priorité les services commerciaux les plus importants et identifier les systèmes et processus qui les soutiennent, qu'ils soient internes à l'organisation ou externalisés
• s'assurer qu'il existe une stratégie de communication efficace en cas de perturbation pour aider les employés et les clients.

Couvrir toutes les bases

Les régulateurs affirment que les événements perturbateurs sont inévitables, mais que les entreprises qui pourraient être touchées doivent se préparer et être aussi résilientes que possible. Il est clair que la protection contre et la gestion d'une cyberattaque est considérée comme l'élément le plus évident de la liste de contrôle du gestionnaire de risques opérationnels, en raison de la grande dépendance à l'égard de la technologie et des données, mais d'autres risques potentiels pourraient inclure une panne pour des raisons non malveillantes, des intempéries telles que des inondations, un incendie ou une pandémie de grippe.

Les régulateurs n'ont pas apporté de changements immédiats aux processus de surveillance. Cependant, une fois que les réactions au document de discussion auront été correctement évaluées, il est presque certain que de nouvelles règles seront adoptées. Il peut y avoir une volonté de s'engager avec l'industrie pour améliorer la résilience opérationnelle et de prendre en compte le retour d'information, mais ce domaine est également considéré comme trop important pour permettre au statu quo actuel de se poursuivre, c'est pourquoi les gestionnaires de risques opérationnels doivent s'assurer que l'activité est maintenant intensifiée.