La résilience opérationnelle est une expression de plus en plus familière qui circule dans le secteur des services financiers au Royaume-Uni. Les régulateurs britanniques ont déjà publié de nombreuses orientations, et d’autres sont attendues à mesure que les exigences continueront d’être affinées.

Voici un récapitulatif des dernières exigences en matière de résilience opérationnelle définies par les régulateurs pour les entreprises du secteur des services financiers.

Qu’est-ce que la résilience opérationnelle ?

Le terme « résilience opérationnelle » est défini par les régulateurs – Bank of England, Prudential Regulation Authority (PRA) et Financial Conduct Authority (FCA) – comme la capacité à prévenir, à s’adapter et à répondre à des perturbations opérationnelles, à s’en remettre et à en tirer des enseignements.

Le programme de résilience opérationnelle a été lancé en 2018 lorsque les régulateurs ont publié un document de discussion commun sur le sujet. À l’époque, les régulateurs craignaient que les entreprises ne soient pas suffisamment préparées pour faire face aux retombées d’une perturbation importante telle qu’une cyberattaque ou un changement technologique à grande échelle.

Ce document a été suivi de plusieurs autres qui offrent des détails et des recommandations supplémentaires sur la manière de parvenir à la résilience opérationnelle en général. Ces documents contiennent également des conseils spécifiques sur l’externalisation et la gestion des tiers. Ces informations sont particulièrement importantes pour atteindre la résilience opérationnelle, car l’externalisation expose une organisation à toutes les vulnérabilités de chaque tiers.

Les menaces identifiées dans le document de discussion initial restent d’actualité. Depuis lors, les régulateurs ont promulgué la loi sur la résilience des opérations numériques (Digital Operations Resilience Act – DORA), qui étend les exigences en matière d’op res aux fournisseurs de services de technologies de l’information et de la communication (TIC) qui prennent en charge les fonctions essentielles aux services commerciaux importants d’une entreprise. Les entreprises ont jusqu’à 2025 pour se conformer à la loi DORA.

Les quatre objectifs du cadre

Les quatre objectifs d'un cadre de résilience opérationnelle Les régulateurs définissent quatre objectifs principaux pour un cadre de promotion de la résilience opérationnelle :

  1. Minimiser tout préjudice pour les consommateurs.
  2. Garantir la sécurité et la solidité des services aux entreprises dans les organisations.
  3. Garantir la stabilité financière sur l’ensemble du marché.
  4. Atténuer ou minimiser les perturbations du marché.

Respecter le cadre de résilience opérationnelle

Les règles relatives à la résilience opérationnelle sont souples, de sorte que les entreprises peuvent adopter la meilleure approche en fonction de leurs produits et de leur taille. Cela dit, toutes les entreprises de services financiers sont tenues de.. :

  • Identifier les services importants qui ont un impact interne ou externe significatif sur l’entreprise.
  • Fixez des tolérances d’impact pour chaque service commercial important en quantifiant la quantité maximale de perturbations que les clients seraient prêts à accepter.
  • Associez les ressources d’appui aux services afin de relier les personnes, les processus, la technologie, les installations et les tiers à chaque service d’entreprise.
  • Effectuer des tests de scénario sur les services et les ressources pour valider le niveau de confiance sur la résilience des services d’entreprise.
  • Appliquer les enseignements tirés des tests de résistance et de l’expérience réelle pour concevoir des mesures correctives.
  • Établissez un plan de communication – interne et externe – à suivre lorsqu’un événement se produit.
  • Procéder à une auto-évaluation annuelle soumise à l’approbation du conseil d’administration.

La technologie au service de la résilience opérationnelle et de la conformité

La technologie au service de la résilience opérationnelle et de la conformitéLe respect des exigences susmentionnées en matière de résilience opérationnelle nécessite la collecte, le suivi et l’analyse d’une quantité importante d’informations, en particulier pour les grandes organisations.

La documentation des services commerciaux essentiels, la définition des responsabilités et les tests de résilience peuvent prendre du temps, perturber et coûter cher aux organisations ayant des modèles commerciaux complexes et des relations avec des tiers.

Une technologie qui intègre les activités et les données relatives à la gestion des risques et à la conformité dans l’ensemble de l’organisation est essentielle pour rationaliser les processus, centraliser les données et fournir une visibilité claire de l’état d’avancement du projet. Il est très difficile, voire impossible, d’y parvenir en utilisant de multiples feuilles de calcul appartenant à différentes parties de l’entreprise.

Si vous travaillez dans le domaine de la gestion des risques, préparez-vous à revoir vos systèmes et processus existants de gestion des risques opérationnels en vue d’apporter des améliorations qui favorisent la résilience opérationnelle. Quelles améliorations seront nécessaires pour répondre aux exigences en matière de résilience opérationnelle – et disposez-vous des outils nécessaires pour y parvenir ?

Pour en savoir plus sur les sujets ayant un impact sur les entreprises réglementées par la FCA, téléchargez notre e-book, Renforcer la résilience opérationnelle dans les services financierset apprenez-en plus sur le logiciel le logiciel de résilience opérationnelle de Riskonnect.