Établissements financiers : le calme avant la tempête ?

Cet article est paru dans le numéro hors-série «Les chantiers informatiques» de la Revue Banque, octobre 2006

Télécharger la version PDF de cet article

Au lendemain des attentats du 11 septembre 2001, la communauté financière américaine a fortement mis l’accent sur les plans de continuité d’activité. En Europe, les établissements bancaires commencent tout juste à s’en préoccuper, avec notamment l’augmentation des risques terroriste et pandémique. Compte tenu de la montée en puissance des enjeux commerciaux, cette tendance devrait s’accélérer au cours des prochaines années.


Le montant des pertes directes engendrées par les événements du 11 septembre 2001 est généralement estimé entre 25 et 60 milliards de dollars. Face à l’ampleur de ces chiffres, et avec la recrudescence de la menace terroriste et des catastrophes naturelles, la communauté financière américaine a brutalement pris conscience de son exposition à de tels risques. En réaction, la réglementation a été très fortement endurcie allant jusqu’à préconiser une reprise des activités dites «critiques» (par exemple, celles qui influent sur la liquidité de marché) en moins de quatre heures.

Les États-Unis: l’échappée solitaire
Face à ces contraintes, les établissements bancaires se sont dotés de solutions innovantes. En premier lieu, le split operation, qui consiste à répartir chacune des entités opérationnelles d’un établissement sur plusieurs sites. Cette pratique se fait généralement sur deux sites, mais certains vont encore plus loin en en utilisant davantage. La Bank of New York en utilise trois : NYC, dans le New Jersey, et un autre en Floride.

Autre innovation très répandue : le télétravail. Grâce au développement des outils d’accès à distance sécurisés, il peut désormais s’appliquer à de très nombreuses activités d’un établissement bancaire. Cependant, compte tenu du besoin d’assurer des conditions de sécurité physique pour les employés en charge d’activités sensibles, comme la négociation ou le paiement, il ne peut pas couvrir l’intégralité des domaines de la banque. Le télétravail représente néanmoins une solution de secours simple à mettre en place, économique à maintenir, et particulièrement efficace dans la mesure où il multiplie le nombre de sites de secours par le nombre d’employés.

Une troisième innovation s’est également imposée de manière quasi générale : les technologies «active/ active». Elles permettent de répliquer des données de manière synchrone sur une architecture technique parallèle. Si l’un des sites vient à «tomber», il est alors possible de faire de la répartition de charge, et de restaurer les outils applicatifs dans un délai très court, en dessous de 45 minutes. Le marché à terme de Chicago (Chicago Mercantile Exchange) est aujourd’hui capable, avec ce type de solution, de rétablir son activité en à peine quelques minutes.

L’Europe en queue de peloton
Derrière les États-Unis, les pays d’Asie du Sud-Est sont les mieux équipés. En effet, compte tenu de leur forte exposition aux catastrophes naturelles, ils ont développé une forte culture du risque. L’initiative de HSBC témoigne bien de cela : après avoir été touchés par la grippe aviaire en 2003 en Asie, ses dirigeants ont retenu une hypothèse de taux d’absentéisme de 50% (au niveau mondial) en cas de crise pandémique, alors que l’Organisation mondiale de la Santé ne recommandait que 25 %.

En Europe, la situation est nettement plus préoccupante : moins exposée aux risques de catastrophes naturelles et étrangement moins préoccupée par les menaces terroristes, le niveau de préparation est nettement moins avancé. À ce jour, la plupart des responsables en charge des risques opérationnels des établissements bancaires, et donc responsables de la gestion des plans de continuité d’activité (PCA), en est encore à considérer que le besoin est couvert par leur plan de secours informatique. La distinction entre les deux notions est loin d’être assimilée, ce qui reflète le faible état d’avancement des réflexions sur le sujet.

Dans le paysage européen, le Royaume-Uni se distingue un peu. La communauté britannique a pris conscience de la menace terroriste depuis bien longtemps, notamment suite aux attentats perpétrés par l’IRA. De surcroît, les attentats du 7 juillet 2005, qui ont provoqué l’évacuation de nombre d’établissements bancaires dans le quartier de Liverpool Street, ont fortement marqué les esprits. La FSA, l'autorité de contrôle du marché financier britannique, est sûrement le régulateur européen à ce jour qui affiche le plus de préoccupation sur le sujet. Elle a organisé un test impliquant la quasi-totalité des acteurs fin 2005 et elle diffuse sur son site Internet des recommandations assez proches de celles du régulateur américain, la SEC. Cependant, la réglementation en vigueur reste souple, du moins pour le moment.

En France, l’absence de réglementation contraignante n’a pas fourni – jusqu’à aujourd’hui – le petit déclic qui aurait véritablement déclenché les réflexions sur les PCA. Certes, les PSI français sont à un niveau correct : la quasi-totalité des intervenants dispose de sites back-up. Les solutions de type «active/active» sont en cours d’étude, voire parfois déjà implémentées, et les plans de secours sont régulièrement testés. Cependant, les notions mêmes de gestion de crise ou de préparation du personnel, pourtant critiques lors d’une crise majeure, sont régulièrement absentes des dispositifs mis en place. Les conséquences d’une catastrophe majeure survenant à Paris ne sont vraisemblablement pas perçues par les décideurs à l’heure actuelle.

Tous parties prenantes du PCA
Il apparaît, par ailleurs, que les considérations réglementaires ne couvrent pas le périmètre complet des enjeux auxquels doivent faire face les acteurs du monde financier. Les principaux impacts sont pour les clients, fonds d’investissements et actionnaires, et tous portent une attention grandissante à ces dispositifs :

• pour le client, il s’agit de s’assurer qu’aucun des services clés consommés ne peut être interrompu brutalement. On peut aller plus loin, en concevant que les entreprises avec des PCA en place exigent de leurs fournisseurs (ou contreparties) le même niveau de sécurité, afin d’assurer une cohérence dans la gestion du risque ;
  
• pour les fonds d’investissement, il s’agit de mesurer et de limiter l’exposition de leurs portefeuilles aux risques de catastrophes majeures. La qualité de son PCA devrait très rapidement être prise en compte dans la valorisation d’une entreprise ;
  
• pour l’actionnaire, il s’agit de limiter l’exposition de l’entreprise aux risques de catastrophes majeures et de contrôler les coûts induits par la mise en place d’un PCA. Ce dernier point est d’autant plus important qu’un budget de PCA peut atteindre, dans certains cas, jusqu’à près de 1% du produit net bancaire pour les banques d’investissement, ce qui en fait naturellement un projet stratégique.

Tous ces enjeux prouvent que la réflexion sur les PCA ne doit pas se limiter au seul champ de la réglementation. Il s’agit bien de définir, au regard de tous les paramètres, un niveau de risque maximum acceptable pour une entreprise. Un ensemble de bonnes pratiques, allant bien au-delà des obligations réglementaires, est en train de se mettre en place. On peut d’ores et déjà citer les familles de normes ISO 27000 (France), SS507 (Singapour), NFPA 1600 (États-Unis) et le règlement CRBF 2004-02. On observe déjà des changements sur les places londoniennes et même parisiennes. Certains acteurs se sont déjà dotés de dispositifs allant bien au-delà des obligations réglementaires en vigueur actuellement. Au regard des tressaillements perceptibles aujourd’hui, nul doute qu’une généralisation de ces pratiques devrait s’imposer dans les années à venir.

---

Vous souhaitez de plus amples informations ? Contactez-nous !