Le mois dernier, la FCA a annoncé qu’elle allait ouvrir une enquête formelle sur la panne informatique de TSB, qui a débuté le 22 avril et a entraîné le blocage des comptes de quelque 1,9 million de clients.

TSB a été clouée au pilori dans la presse et maintenant, avec l’annonce d’une enquête réglementaire, le pire est peut-être à venir. Le gouvernement est également impliqué, le directeur général Paul Pester ayant récemment été interrogé par la commission parlementaire du Trésor, ainsi que Miguel Montes, directeur général de la société mère de la banque, Sabadell. Pester reste dans une position difficile et certains se demandent s’il peut rester à la tête de la banque. Il a été critiqué par Andrew Bailey, directeur général de la FCA, qui l’a accusé d’avoir présenté une « vision optimiste » de l’état des services de TSB et a déclaré qu’une « plus grande prudence aurait été de mise ». Nicky Morgan MP, présidente de la commission, a déclaré dans une lettre adressée à Richard Meddings, président de TSB : « Le conseil d’administration de TSB devrait se demander sérieusement si la position du Dr Pester en tant que directeur général de TSB est viable ». Elle a ajouté que son comité « a perdu confiance dans sa capacité à fournir une évaluation complète et franche des problèmes de TSB, et à les traiter dans le meilleur intérêt de ses clients ». Mais si les personnes extérieures à TSB peuvent être soulagées de ne pas être les seules à être critiquées, les gestionnaires de risques doivent noter que l’autorité de régulation estime que l’événement a eu un impact sur l’ensemble du secteur bancaire. Problèmes de transfert
Les problèmes provenaient du transfert des données des clients à partir d’un ancien système informatique contrôlé par l’ancien propriétaire, Lloyds Banking Group. La nouvelle plateforme, construite par Sabadell, n’a pas été en mesure de gérer le volume de clients lorsqu’elle a été mise en service. Aujourd’hui, quelques semaines plus tard, certains clients rencontrent encore des problèmes et les fraudeurs ont ciblé les clients de TSB – le nombre d’hameçonnages a été multiplié par dix entre avril et mai. M. Bailey a ajouté que la FCA n’était pas non plus « satisfaite de la communication de TSB avec ses clients », estimant que la banque n’avait pas respecté l’obligation d’indemniser les clients assez rapidement. Des leçons peuvent-elles être tirées de cette affaire ? Voici quelques-unes des questions qui seront sans doute approfondies au cours de l’enquête :

Les tests ont-ils été insuffisants ?
Selon TSB, les défaillances étaient liées au « middleware » du système, la technologie qui se situe entre les applications informatiques destinées aux clients et les bases de données dorsales de la banque. Mais IBM, qui a été chargé de résoudre les problèmes, a affirmé que les tests étaient insuffisants. Il a été rapporté que « IBM n’a pas vu de preuve de l’application d’un ensemble rigoureux de critères de mise en service pour prouver l’aptitude à la production. Des experts ont également affirmé que les étapes finales des tests, connues sous le nom de « proof of concepts » (PoC), auraient révélé toute erreur de technologie et de planification. Mais il est entendu que les PoC n’ont pas été exécutés sur des comptes de test, ou potentiellement sur des comptes de personnel, avant la mise en production complète.

Le personnel des centres d’appel était-il trop peu nombreux pour faire face à la crise ?
Les clients ont indiqué qu’ils attendaient au moins 30 minutes pour parler à un agent et beaucoup se sont ensuite plaints d’avoir été déconnectés. Il était également presque impossible de joindre l’équipe chargée de la lutte contre la fraude

Dans quelle mesure les gestionnaires de risques ont-ils été étroitement associés au projet ?
Le transfert de données des ordinateurs centraux, utilisés par la majorité des banques, vers le nuage ou un nouveau serveur numérique comporte de nombreux risques. TSB tentait de transférer quelque 1,3 milliard de dossiers de clients, ce qui représente un projet de grande envergure. Les plans d’urgence mis en place ne sont pas clairs. L’équipe de gestion des risques aurait-elle pu faire quelque chose de réaliste ? On ignore le degré d’implication de l’équipe chargée des risques opérationnels. On pourrait faire valoir qu’étant donné qu’il s’agit d’un domaine très technique et que le service informatique est en fin de compte responsable du risque, le degré d’influence qu’une équipe de gestion des risques de deuxième ligne peut avoir sera limité. Cependant, avec une mise à niveau aussi importante, l’équipe chargée des risques aurait certainement été consultée afin que son expertise en matière d’évaluation des risques et de planification des scénarios soit mise à profit. Il est fréquent que les propriétaires de risques ne comprennent pas vraiment le risque qu’ils prennent ou les implications pour le reste de l’entreprise lorsque les choses tournent mal. L’avenir nous dira quel sera l’impact de l’enquête de la FCA sur TSB, mais quelle que soit la sanction, la confiance des clients concernés dans leur banque aura été sérieusement entamée.