Skip to main content
RÉSULTATS DE LA RECHERCHE
Désolé, mais rien ne correspond à vos critères de recherche. Désolé, mais rien ne correspond à vos critères de recherche.
Désolé, mais nous ne pouvons pas traiter votre demande. Veuillez réessayer plus tard ! Désolé, mais nous ne pouvons pas traiter votre demande. Veuillez réessayer plus tard !
Suggestions de recherche

Les cinq piliers de la résilience opérationnelle numérique

Le nombre de cyberattaques s’est envolé ces dernières années. Il a atteint un niveau record pendant la pandémie de COVID-19 en 2020 lorsque de nombreuses entreprises ont été ciblées. En 2021,QA Financial relevait ainsi que plus de 25 % des dépenses des établissements financiers mondiaux étaient consacrées à la résolution de dysfonctionnements de logiciels de mauvaise qualité et à la mise en œuvre d’une ingénierie de qualité afin de répondre à la recrudescence des piratages.

Le projet de règlement de la Commission européenne sur la résilience opérationnelle informatique « DORA » (Digital Operational Resilience Act)  vise à s’assurer que toutes les institutions financières mettent en place les systèmes de protections nécessaires pour éviter que des menaces externes n’affectent leur client et qu’ils puissent continuer à exercer leurs activités normalement. Ce règlement devrait prendre effet en 2022.

Pour que les établissements financiers commencent à établir les bases d’une stratégie de conformité préventive, Expleo a identifié les cinq piliers de la résilience opérationnelle. 

Brochure mockup

1. Une sensibilisation à la résilience opérationnelle numérique

Toute nouvelle législation implique une phase de découverte qui permet d’orienter sa stratégie de conformité. Il convient afin de l’accompagner de constituer un document cadre pour identifier le périmètre de travail, attribuer les ressources en conséquence et définir les opportunités associées. Ce document se doit d’être « pédagogique » afin d’être efficace et de cerner les conséquences réglementaires. 

2. La formation et l’accompagnement pour l’interne

Il est très important de faire en sorte que le personnel interne soit parfaitement informé des conséquences du Digital Operational Resilience Act pour son entreprise. Cela implique de mettre en place un programme de formations animé par des experts du secteur et de la réglementation. Ce programme doit permettre d’aider les employés à se familiariser avec les nouvelles procédures : Ils devront connaître les nouvelles normes de classification des incidents, la nouvelle terminologie et les acronymes liés à la nouvelle législation. Les employés responsables des tests et de la surveillance auront quant à eux besoin d’un appui personnalisé, ainsi que d’une formation et d’un accompagnement spécifique en matière de lutte contre le blanchiment d’argent (AML). Des contrôles devront être mis en place pour évaluer l’efficacité de la surveillance. Ces mêmes employés responsables des tests et de la surveillance seront les yeux et les oreilles de l’entreprise dans le domaine de la résilience. Ils devront être suffisamment formés pour détecter les points faibles du système susceptibles d’amoindrir la résilience opérationnelle globale.

3. Un contrôle des prestataires tiers

De nombreux établissements financiers font appels aux services de prestataires tiers pour améliorer le parcours client et renforcer leur offre de services globale. S’il peut être avantageux de tirer parti d’un réseau de prestataires, cela réduit également la capacité à contrôler son « destin opérationnel ». Il est donc important de créer un registre de tous les prestataires impliqués. Il est primordial de savoir en qui avoir confiance lorsque des aspects essentiels du parcours client sont sous-traités. Il est recommandé de mener une étude d’impacts pour découvrir le niveau de fiabilité de chaque sous-traitant : est-il interchangeable ? Que se passerait-il s’il était compromis ou déclassé ? Lors de l’exécution d’une stratégie d’entreprise en matière de résilience opérationnelle numérique, il est indispensable d’évaluer correctement la rigueur de chaque prestataire et d’en identifier les défaillances potentielles. Enfin, faire appel à des organisations tierces possédant les compétences techniques, la bonne réputation et l’ensemble des outils nécessaires pour une résilience opérationnelle numérique accélérée conforme à la réglementation est essentiel.

4. Des tests fiables à mettre en œuvre

Ensuite, des évaluations non complaisantes des structures et processus de tests internes doivent avoir lieu. Comme certains aspects de la loi sur la résilience opérationnelle numérique (DORA) exigeront des tests techniques, il est indispensable de comprendre parfaitement les implications sur les systèmes et le personnel. Comment allez-vous le faire ? Qui va le faire ? À quelle fréquence les tests seront réalisés ? Comment les résultats seront fournis ? Enfin, et surtout, quelles mesures correctives seront mises en œuvre suite aux résultats ? Il s’agit là des questions principales à prendre en compte. La sécurité et l’intégrité de l’architecture du système sont des éléments fondamentaux de tout effort de conformité :  Les pannes de système sont de véritables points noirs qui entachent la crédibilité aux yeux des clients et qu’il convient donc de limiter. Compte tenu de l’importance des enjeux, cela vaut la peine de consacrer du temps et de faire preuve de diligence lors de l’établissement des procédures de tests.

5. La mise en œuvre de mécanismes des rapports

L’étape suivante consiste en la mise en œuvre d’une stratégie de conformité (notamment lors de la phase de mise en place des tests). Cette étape exige l’établissement d’un cadre de rapports optimal. Il s’agit de faire preuve d’excellence dans l’exécution. La consolidation de nouvelles normes de rapport requiert l’implication d’experts. Il faut aussi s’habituer à de nouveaux termes, notamment techniques pour les rapports. Il est primordial de définir les axes de communication (sur les occurrences d’incident notamment), et de bien respecter les process mis en œuvre. Expleo peut établir un plan clair de gestion des rapports en interne avant qu’il ne soit transmis au régulateur. Il sera plus facile pour les entreprises de satisfaire les exigences des rapports tout en minimisant la perturbation des opérations une fois la structure des rapports (réguliers) clairement définie et mise en œuvre.

Dans notre dernière étude de marché « Digital Operational Resilience: The New Heart of Operational Risk » (La résilience opérationnelle numérique au cœur du risque opérationnel), réalisée conjointement avecQA Financial, Accourt Payment Specialists et Reed Smith, nous évaluons les points de vue actuels de 39 banques traditionnelles, de gestionnaires d’actifs, d’assureurs, de sociétés de paiement et autres Fintechs au Royaume-Uni et dans l’UE.