Des informaticiens au conseil d'administration

Publié le 12 août 2020 par Patriceb @cestpasmonidee
Aux côtés de ses alertes habituelles, notamment sur les dangers induits par les systèmes obsolètes, le rapport sur les risques informatiques dans les banques publié à la fin juillet par la Banque Centrale Européenne révèle une nouvelle inquiétude, concernant les compétences de leurs instances dirigeantes, qu'elle a donc l'intention de surveiller.
La synthèse et l'analyse des réponses d'une centaine d'établissements parmi les plus importants de la zone euro à un questionnaire d'auto-évaluation (portant sur l'année 2018), bien qu'elles soient jugées exagérément optimistes dans leur ensemble, procure un aperçu extraordinairement éclairant sur le secteur financier et, surtout, sur les disparités qui le traversent, dans son approche des systèmes d'information. Le premier constat qui en ressort pourrait se résumer à un manque de maîtrise généralisé.
Le régulateur s'alarme, par exemple, de la forte dépendance (pour près de 8 structures sur 10) à des systèmes considérés en fin de vie, souvent présents dans des processus critiques, et qui sont de surcroît les plus sujets à des évolutions. À l'opposé du spectre, les budgets consacrés à l'innovation technologique paraissent faibles, puisqu'ils s'élèvent, en moyenne, à 13% de la dépense informatique totale, avec des variations extrêmes, qui s'étalent depuis 0% jusqu'à, pour une poignée d'acteurs, plus de 40%.
Or l'étude met donc en évidence une corrélation entre la maturité informatique et le nombre de membres du conseil d'administration disposant d'une expertise technique, puis elle montre son impact sur une multitude de facteurs, au-delà de l'engagement en faveur de l'innovation. Dans le cadre qui intéresse la BCE, il s'avère que les institutions dans lesquelles l'IT est mieux représentée au sommet subissent moins de cyberattaques et connaissent des temps d'arrêts moins longs sur leurs applications sensibles.

Concrètement, là où les conseils ont une compétence en informatique supérieure à la moyenne (celle-ci s'établissant à 3 membres qualifiés), moins de 20 signalements d'atteintes majeures à la sécurité (celles qui doivent être déclarées au régulateur européen) ont été enregistrés alors que, ailleurs, ils dépassent parfois 40 (pour les 5 plus mauvais élèves), voire 80. Les observations sont similaires sur les incidents bloquants et la durée de leur résolution, engendrant des pertes financières conséquentes.
En réalité, tous les paramètres sont liés les uns aux autres afin de concourir à l'efficacité et au contrôle des risques : les budgets informatiques supérieurs, la moindre emprise de systèmes complexes et dépassés, le recours mesuré à l'externalisation, la réduction des vulnérabilités et des fragilités… L'influence d'un groupe relativement puissant de responsables capables de comprendre, par expérience, les enjeux sous-jacents est alors indispensable pour encourager l'entreprise à déployer les efforts là où ils comptent.
Émanant directement de la mutation des institutions financières en organisations essentiellement technologiques, la recommandation d'introduire plus d'expertise informatique au plus haut de leur hiérarchie ne date pas d'hier. Celles qui persistent à nier l'évidence de ce changement radical de leurs métiers – et il en existe parmi les plus connues – ne vont pouvoir garder longtemps la tête dans le sable : la BCE semble désormais convaincue et décidée à agir pour éviter des catastrophes prévisibles.