Aller au contenu principal

Circulaire FINMA 2023/1 - Chapitre V : Assurer la résilience opérationnelle - Partie 1

Ces dernières années, la gestion des risques liés à la continuité opérationnelle des processus opérationnels et des systèmes TIC a été au centre des préoccupations de nombreuses institutions. Toutefois, le fait de se concentrer sur la résilience opérationnelle de bout en bout de l'ensemble de la chaîne de valeur - plutôt que sur des processus et des systèmes TIC isolés - représentera un changement majeur pour la plupart des systèmes actuels de gestion de la continuité de l'activité.

Les régulateurs prennent des mesures accrues pour prévenir les incidents qui pourraient avoir un impact sévère sur le secteur et l'économie en général. La circulaire 2023/1 de la FINMA, récemment publiée, définit les principes de gestion des risques opérationnels et de la résilience. La circulaire n'est volontairement pas prescriptive, ce qui signifie que les organisations doivent interpréter les principes énoncés dans la circulaire et adapter la mise en œuvre de la réglementation à leurs circonstances particulières.

Cinq piliers pour la mise en œuvre stratégique de la résilience opérationnelle


Le nouveau règlement souligne la nécessité pour les institutions financières du champ d'application de s'assurer que leur niveau de résilience opérationnelle est adéquat et que l'organisation peut fournir les services commerciaux minimums requis en cas de perturbations "graves, mais plausibles".

Nous proposons une approche reposant sur cinq piliers pour répondre aux exigences accrues et gérer efficacement le niveau de résilience opérationnelle de l'organisation :

D'ici au 1er janvier 2026, la FINMA exige des organisations qu'elles se conforment pleinement à la circulaire et qu'elles soient donc résilientes sur le plan opérationnel. A cette date, les organisations devraient avoir remédié aux vulnérabilités existantes et mis en œuvre les mesures supplémentaires requises qui les aideront à rester dans les limites de tolérance de perturbation de leurs fonctions critiques dans de telles occasions d'événements perturbateurs sévères mais plausibles.

Toutefois, le premier délai de transition de la FINMA, fixé au 1er janvier 2024, prévoit déjà que les organisations disposent d'un inventaire initial de leurs fonctions critiques approuvé par le conseil d'administration. Cet inventaire doit contenir les tolérances de perturbation des fonctions critiques, ainsi que les connexions et dépendances identifiées entre les processus critiques et les ressources qui fournissent les fonctions critiques identifiées.

C'est donc maintenant qu'il faut agir. Pour se mettre en conformité, les organisations doivent s'attaquer aux premiers piliers de la résilience opérationnelle. Du point de vue de la résilience opérationnelle, les deux principaux défis auxquels les organisations seront confrontées jusqu'à la fin de l'année 2023 sont les suivants :

  1. Comment identifier initialement les fonctions critiques de l'organisation ?
  2. Comment définir la (les) tolérance(s) de perturbation par fonction critique ?

En outre, les travaux de remédiation requis pour des vulnérabilités connues de longue date, difficiles et complexes à traiter, entraîneront probablement des efforts plus importants étalés sur plusieurs années. Par conséquent, les organisations devraient envisager de lancer une partie de ces travaux dès 2023 afin de respecter l'échéance finale du 1er janvier 2026.

Selon la définition de la FINMA, les fonctions critiques sont les suivantes :

  • les activités, processus et services - y compris les ressources sous-jacentes nécessaires à leur fourniture - dont l'interruption compromettrait le maintien de l'organisation ou son rôle sur le marché financier et, partant, le bon fonctionnement des marchés financiers ; et
  • les fonctions d'importance systémique au sens de l'article 8 de la loi fédérale suisse sur les banques et les caisses d'épargne (loi sur les banques ; LB).


Nous partons du principe que la FINMA n'attend pas des organisations qu'elles identifient un grand nombre de fonctions critiques. L'objectif principal de l'exercice sera de se concentrer sur les chaînes de valeur critiques de bout en bout absolument nécessaires pour garantir qu'un niveau minimum tolérable de services critiques et de résultats commerciaux puisse être fourni à tout moment - même en cas de scénario de perturbation "sévère mais plausible" (une crise majeure).

Parmi les exemples de candidats typiques qui peuvent également être considérés comme des fonctions critiques pour certaines organisations, on peut citer les activités de dépôt et de prêt au niveau national, ainsi que les opérations de paiement. Toutefois, l'identification des fonctions critiques est une tâche à laquelle chaque organisation doit s'atteler individuellement et qui dépend fortement du modèle d'entreprise de l'organisation. Alors qu'un gestionnaire d'actifs inclura probablement la gestion de portefeuille comme une fonction critique, une banque de détail identifiera plutôt le service de crédit aux clients comme une fonction critique de son activité.

Pour déterminer si une fonction au sein d'une organisation est jugée "critique", il convient de privilégier une approche d'évaluation qualitative. Vous trouverez ci-après quelques exemples d'un "aide-mémoire" complet à élaborer individuellement par les organisations pour soutenir le processus d'évaluation qualitative :

La décision de considérer une fonction comme "critique" au sein de l'organisation relève en dernier ressort de la direction générale et du conseil d'administration. En préparant et en documentant avec soin les raisons pour lesquelles une fonction critique a été identifiée et en étayant ces raisons par des données supplémentaires, vous contribuerez a) à obtenir l'aval de la direction générale et b) à garantir la défendabilité et l'auditabilité de la fonction à un stade ultérieur.

Les activités traditionnelles de gestion de la continuité des activités (BCM) se concentrent sur l'identification des objectifs de temps de rétablissement (RTO) pour les processus critiques d'une organisation. Ces objectifs définissent le délai de rétablissement souhaité, c'est-à-dire la date à laquelle un processus doit avoir retrouvé son fonctionnement normal. Même avec les nouvelles exigences en matière de résilience opérationnelle, le BCM reste important et exigé par le régulateur (voir également la circulaire 2023/1 de la FINMA - chapitre IV E).

Toutefois, les crises passées ont démontré que dans des scénarios de perturbation graves mais plausibles, tels qu'une cyber-attaque à grande échelle et une perte totale des TIC, de multiples processus tomberont généralement en panne en parallèle, ce qui rendra les mesures traditionnelles de gestion de la continuité des activités inefficaces puisqu'elles concernent des défaillances isolées. Par conséquent, il est peu probable que l'on parvienne à rétablir tous les processus dans les délais souhaités et à les faire fonctionner normalement dans les délais d'exécution définis. Dans de tels scénarios, l'organisation devra établir des priorités et réussir à surmonter la crise.

C'est là que les tolérances nouvellement introduites pour l'interruption des fonctions critiques entreront en jeu. La tolérance à l'interruption est l'ampleur - la durée ou les dommages attendus - de l'interruption d'une fonction critique que l'organisation est prête à accepter. Les tolérances devront donc définir le niveau minimum de service et de résultats requis de la part d'une fonction critique pour fonctionner pendant une crise, alors que les opérations normales ne peuvent être réalisées pendant une période plus longue.

Lors de la définition des tolérances en matière d'interruption des fonctions critiques, les organisations doivent prendre en compte les étapes suivantes :

  1. Formuler le service minimum et les résultats de la fonction requis pour éviter tout préjudice intolérable pour l'organisation, ses clients et le marché financier au sens large.

    Remarque : comme point de départ initial, l'organisation peut s'appuyer sur les justifications précédemment développées définissant pourquoi la fonction est jugée "critique". En outre, les objectifs RTO déjà définis pour les processus sous-jacents dans une perspective BCM peuvent fournir une orientation.

  2. Recueillir des données/éléments supplémentaires pour étayer et rationaliser le service minimum et les résultats définis.
  3. Documentez la tolérance de perturbation sous la forme d'une déclaration d'objectif basée sur les résultats. En outre, documentez les justifications et les données/preuves supplémentaires pour lesquelles la tolérance de perturbation respective a été choisie.

Conclusion


Les institutions financières doivent donner la priorité à l'identification initiale des fonctions critiques de l'organisation ainsi qu'à leur tolérance aux perturbations, car le premier péage de transition de la FINMA, le 1er janvier 2024, approche à grands pas. En outre, les travaux de remédiation requis pour les vulnérabilités connues de longue date et qui nécessiteront probablement des efforts importants devraient être lancés dès maintenant afin de respecter l'échéance finale du 1er janvier 2026.

La définition initiale des fonctions critiques et de leur tolérance aux perturbations sera probablement une tâche plus complexe qu'on ne le pensait au départ. Ce processus nécessite une approche itérative avec la participation des principales parties prenantes de plusieurs domaines d'activité de l'organisation. Une fois définies, elles refléteront en fin de compte les principales priorités de la direction en temps de crise.

Notre équipe a aidé et continue d'aider de nombreuses institutions à relever les mêmes défis et nous serions ravis d'aider votre organisation à se conformer à ce nouveau règlement.

Did you find this useful?

Thanks for your feedback

Si vous souhaitez contribuer à l'amélioration de Deloitte.com, veuillez remplir un formulaire de demande d'information. Enquête de 3 minutes