En décembre 2022, la FINMA (Autorité de surveillance des marchés financiers suisse) a publié une mise à jour de sa circulaire sur les risques opérationnels et la résilience, marquant ainsi un changement important dans le paysage réglementaire des établissements concernés (banques, négociants en valeurs mobilières et groupes financiers tels que définis par la FINMA). Cette réglementation entrera en vigueur le 1er janvier 2024, accordant aux établissements une période de transition de deux ans pour se conformer aux nouvelles exigences. Les établissements doivent d’ores et déjà démontrer leur engagement jusqu’à 2026, ce qui signifie qu'elles doivent adopter une approche proactive en vue d'assurer leur résilience opérationnelle.
Dans cet article, nous abordons la réglementation sur la résilience opérationnelle publiée par la FINMA, en mettant particulièrement en avant la gestion des risques associés aux données (chapitre IV, paragraphe D de la circulaire).[1] Nous étudions ici comment les établissements bancaires peuvent se conformer à cette règlementation et nous présentons une approche pragmatique pour relever les défis qui en résultent.
La circulaire FINMA 23/1 en résumé
La nouvelle circulaire FINMA 2023/1, intitulée "Risques opérationnels et résilience - Banques" introduit d'importantes exigences pour les institutions financières, incluant la gestion des risques liés aux technologies de l'information et des communications (TIC), à la cybersécurité et les risques liés aux données critiques.
Cette circulaire introduit également de nouveaux principes pour la résilience opérationnelle, mettant l'accent sur deux aspects clés :
- Elle préconise la mise en place d'une approche stratégique priorisant les fonctions critiques selon leur importance stratégique.
- Ensuite, elle encourage l’adoption d’une démarche proactive impliquant des mesures préventives ciblées, une organisation de la structure opérationnelle, un apprentissage et des améliorations continues visant à assurer une plus grande résilience des fonctions critiques, adoptant ainsi sur le concept de "résilience by design".
Les établissements bancaires sont donc tenus de définir leurs fonctions critiques et d'évaluer leur tolérance aux interruptions majeures . De plus, les établissements doivent gérer ces fonctions critiques via un dispositif de risque opérationnel qui comprend la mise en place de contrôles et l'assignation de responsabilités pour chaque ligne de défense.
La première ligne de défense est en charge des contrôles opérationnels. Elle permet d’assurer la gestion des activités quotidiennes et les risques associés. La deuxième ligne de défense joue un rôle clé dans la supervision et la mise en œuvre des contrôles établis par la première ligne. Elle veille à ce que ces contrôles soient bien conçus, intégrés de manière transparente et exécutés de manière efficace pour gérer les risques opérationnels. La fonction d'audit agit en tant que troisième ligne pour superviser et réviser de manière indépendante les activités de contrôle du risque opérationnel.
De plus, la circulaire souligne l'importance de gérer les données critiques afin de soutenir les fonctions critiques des établissements. Cet ajout résulte de la complexité croissante qui caractérise l'écosystème bancaire actuel.
L’environnement IT est confronté à des défis sans précédent, principalement en raison d'une dette technologique importante, résultant d'un « IT legacy » complexe. En outre, les établissements doivent faire preuve de prudence face aux risques liés à l'adoption rapide de nouvelles plateformes technologiques.
Par ailleurs, les établissements font face à une amplification des contraintes réglementaires liées aux données, en réponse aux menaces grandissantes telles que les violations de données et la cybercriminalité. Ces défis sont aujourd'hui au cœur des préoccupations de l'industrie financière.
Parallèlement, les données prennent une place de plus en plus importante dans les processus décisionnels, se positionnant ainsi au cœur des initiatives stratégiques des établissements.
Dans ce contexte, il devient impératif de concevoir des stratégies axées sur les données, visant à renforcer la maîtrise, la gestion et la protection de ces actifs.
Bien que les exigences de la circulaire soient les mêmes pour tous, chaque institution devrait mettre en œuvre le cadre et les contrôles en fonction de leur modèle d'affaires, taille, complexité, structure, et profil de risque.
Quelles conséquences pour la gestion et la protection des données critiques pour les établissements ?
Comparée aux directives précédentes, la réglementation mise à jour de la circulaire FINMA élargit la définition des données critiques : elle englobe désormais non seulement les données confidentielles, mais aussi les données nécessaires pour garantir le bon fonctionnement des fonctions critiques, désignées comme des « données vitales ». Ces données diffèrent d'une banque à l'autre, en fonction de leur modèle commercial, de leur rôle dans le système financier et de leur appétit pour le risque.
Identifier et protéger les données critiques est fondamental afin d’assurer la résilience opérationnelle. Les données doivent être identifiées à travers l'ensemble des applications et des systèmes informatiques et ce tout au long de leur cycle de vie, garantissant ainsi que les éventuelles vulnérabilités soient traitées au plus tôt de la chaine. Une fois identifiées, les données critiques doivent être consciencieusement inventoriées, de manière exhaustive et systématique, pour permettre aux établissements d'assurer une meilleure traçabilité et une meilleure connaissance de ces données.
La protection des données critiques initialement axé e sur la confidentialité doit désormais inclure les aspects d’intégrité et de disponibilité des données.
Cette approche garantit que les établissements maintiennent leur fonctionnement en cas d’interruptions, préservant ainsi les intérêts de leurs clients et évitant des impacts négatifs sur l'ensemble du système financier.
Pour atteindre ces objectifs, les établissements doivent mettre en place un dispositif de gouvernance robuste des données, comprenant une stratégie de données et une organisation efficace avec des rôles et des responsabilités pour la gestion des données. Les mécanismes de surveillance et de contrôle doivent s'étendre aux premières et deuxièmes lignes de défense, assurant ainsi une sécurité et une résilience constantes des données critiques.
Identifier et protéger les données critiques est fondamental afin d’assurer la résilience opérationnelle. Les données doivent être identifiées à travers l'ensemble des applications et des systèmes informatiques et ce tout au long de leur cycle de vie, garantissant ainsi que les éventuelles vulnérabilités soient traitées au plus tôt de la chaine. Une fois identifiées, les données critiques doivent être consciencieusement inventoriées, de manière exhaustive et systématique, pour permettre aux établissements d'assurer une meilleure traçabilité et une meilleure connaissance de ces données.
La protection des données critiques initialement axé e sur la confidentialité doit désormais inclure les aspects d’intégrité et de disponibilité des données.
Cette approche garantit que les établissements maintiennent leur fonctionnement en cas d’interruptions, préservant ainsi les intérêts de leurs clients et évitant des impacts négatifs sur l'ensemble du système financier.
Pour atteindre ces objectifs, les établissements doivent mettre en place un dispositif de gouvernance robuste des données, comprenant une stratégie de données et une organisation efficace avec des rôles et des responsabilités pour la gestion des données. Les mécanismes de surveillance et de contrôle doivent s'étendre aux premières et deuxièmes lignes de défense, assurant ainsi une sécurité et une résilience constantes des données critiques.
Contactez-nous pour découvrir comment nous pouvons vous accompagner.
Naviguez dans les complexités de la résilience opérationnelle et de la protection des données requiert expertise et expérience. Face aux défis de conformité à la réglementation de la FINMA, notre équipe est là pour vous accompagner. Qu'il s'agisse de créer une feuille de route solide, d'assurer la protection de vos données ou d’améliorer leur gestion.
Découvrez comment nos solutions sur mesure et notre expertise peuvent aider votre banque à relever les défis réglementaires, à renforcer sa résilience opérationnelle et à protéger vos données sensibles. Contactez-nous dès aujourd'hui pour en savoir plus.
[1] Circulaire 2023/1 Risques et résilience opérationnels – banques (7 décembre 2022)
