La résilience opérationnelle, un ingrédient clé pour l'industrie financière

La résilience opérationnelle, un ingrédient clé pour l'industrie financière
par EBRC 15/07/2021
Banque, Assurance & Fintech

Le 11 mai 2021, EBRC, en partenariat avec ISACA, David Hagen Advisory et Finologee, a organisé un webinaire intitulé "La résilience, un ingrédient clé pour l'industrie financière". Plusieurs experts locaux ont partagé leurs connaissances et leurs meilleures pratiques, tout en évoquant leurs recettes gagnantes et les leçons tirées de la crise de la Covid-19.

Points clés:

La notion de résilience essentielle également pour le secteur non financier

David Hagen, Founder, Hagen Advisory
David Hagen, Founder, Hagen Advisory

L'événement a été modéré par David Hagen (fondateur, HAGEN Advisory), qui a présenté le sujet du webinaire. "La crise de la Covid-19 qui a débuté en mars 2020 a toujours un fort impact sur nos vies, notre liberté et évidemment sur l'économie. Au cours de l'année dernière, la notion de résilience est devenue essentielle car elle vise à éviter les dommages potentiels, alors qu'elle ne relevait que d’un concept théorique il y a deux ans", a commencé le modérateur. Selon lui, cette notion figurait rarement dans les opérations quotidiennes des entreprises mais est désormais devenue un élément stratégique clé pour les PDG. David Hagen a également expliqué que plus entreprises luxembourgeoises avaient déjà prôné la notion de résilience suite à la grippe H1N1 ou encore face au danger nucléaire en raison de la proximité avec la centrale de Cattenom. "Ces circonstances n'ont pas conduit à une situation de type Covid, mais elles comprenaient l'élément humain de la continuité, la disponibilité des personnes, et évidemment la notion de résilience", a-t-il souligné.

Ensuite, David Hagen a brièvement évoqué la menace de la cybercriminalité et le nombre croissant d'attaques sophistiquées : "Dans le monde numérique d'aujourd'hui, les données ont une valeur immense pour toutes les entreprises. En assurer la protection est essentiel car la perte de données peut avoir des conséquences énormes et peut même entraîner la mort de l'entreprise. Par conséquent, nous devons prendre en compte les risques auxquels les entreprises sont exposées".

Il conclut son introduction en affirmant que "la crise a changé le regard des régulateurs et des législateurs qui intègrent désormais la résilience dans leur doctrine. Des lois spécifiques ont été adaptées à la crise actuelle et plusieurs pays ont déjà élaboré des textes législatifs post-crise de la Covid qui visent à anticiper d'éventuelles crises futures et à en atténuer les risques".

La résilience de l'ensemble de l'écosystème doit être assurée dans le secteur de la finance.

La transparence pour faire face au risque

Alexandre Castaing, President, ISACA Luxembourg
Alexandre Castaing, President, ISACA Luxembourg

Alexandre Castaing (GRM, Head of Cyber, Tech and Fraud Risk – Europe et APAC chez RBC, et président d'ISACA Luxembourg) a ensuite pris la parole et a souligné l'évolution significative du paysage réglementaire au cours des 10 dernières années. "Tout a commencé par le changement de la façon dont les incidents affectent le secteur des services financiers. Les cybermenaces sont devenues beaucoup plus complexes et peuvent avoir des impacts désastreux sur les entreprises : cela a transformé la façon dont nous devions répondre aux menaces. Nous avons notamment remarqué le passage d'exigences informatiques standard à plus de transparence. Il a fallu s’assurer de rapporter l'incident, du point de vue cyber et technique, mais aussi en allant un peu plus loin dans les tests", explique Alexandre Castaing.

Une architecture flexible soutenue par vos partenaires.

Lorsque la pandémie a frappé, RBC était déjà préparée en termes d'architecture et d'environnement virtuel, et a donc rapidement permis à ses plus de 75.000 employés de télétravailler efficacement. Les équipes se sont concentrées sur la gestion de l'offre et de la demande de manière dynamique, car il était désormais impossible de planifier sur une période de trois mois. "Il fallait le faire de manière régulière. Avons-nous assez d'espace de stockage ? Avons-nous besoin d'une alimentation électrique plus importante ? Nous avons pu améliorer nos capacités de surveillance", a-t-il ajouté. La banque a également constaté une recrudescence des cyberattaques, avec une augmentation d'environ 50%, et la montée en puissance du ransomware comme vecteur d'attaque. Alexandre Castaing a également insisté sur la nécessité de penser "écosystème" plutôt que "entreprise", en matière de numérique : "nous traitons avec des clients et des partenaires au quotidien. Quel est leur niveau de préparation numérique ? Acceptent-ils les signatures numériques ? Comment gérer la surveillance des activités commerciales ? Que se passe-t-il en cas de dysfonctionnement ? Leurs fournisseurs disposent-ils de capacités d'accès à distance suffisantes ? Etc.”.

L'engagement des employés est un facteur crucial pour la résilience

L'expert a évoqué l'avenir du travail, en se concentrant principalement sur les employés : quel est l'état de leur santé mentale ? Sont-ils engagés et motivés ? Comment gèrent-ils le stress ? RBC a veillé à les soutenir d'un point de vue financier, évidemment, mais aussi en leur fournissant des ordinateurs portables, des chaises, des applications de méditation ainsi que des jeux pour enfants. "L'engagement des employés est crucial : avec le processus de nomination, nos employés font la promotion des autres. Nous avons organisé des déjeuners et des drinks virtuels avec des équipes du monde entier. Le fait que tout le monde participe au même événement nous a permis d'accroître l'engagement. Actuellement, nous nous concentrons sur la définition de l'avenir du travail au sein de RBC. Sera-t-il hybride ? Comment pouvons-nous soutenir nos employés à long terme", a-t-il conclu.

La résilience dans le secteur financier nécessite un cadre structuré et de nouvelles approches de gestion des risques

Stéphane Chmielewski, CISO, Finologee
Stéphane Chmielewski, CISO, Finologee

“ En tant que prestataire de services financiers, nous devons répondre à de nombreuses attentes de nos clients, car nous visons l'excellence en matière de prestation. Nous leur offrons autant de garanties que possible et de preuves de ce que nous faisons en termes de résilience. Nous voulons être reconnus comme un partenaire de confiance", a commencé Stéphane Chmielewski (CISO, Finologee).

Bonnes pratiques de résilience : certification, outils d'automatisation et modèle de confiance zéro

L'expert a insisté sur la nécessité de structurer l'entreprise afin de tirer parti des meilleures pratiques, des meilleurs cadres de référence, etc. Finologee a notamment opté pour la certification ISO27001 - portant sur la sécurité de l'information - qui a été effectivement déployée pendant la pandémie. D'autre part, les entreprises doivent être en mesure de faire face à l'accélération des cybermenaces qui sont plus avancées, sophistiquées et automatisées que jamais. "Nous devons être plus avancés dans la façon dont nous répondons aux problèmes de protection, et nous devons être capables de stopper les attaques immédiatement. Par exemple, nous avons adopté le modèle de confiance zéro, en n'utilisant que des appareils, des identités et des applications de confiance", explique Stéphane Chmielewski. Des outils d'automatisation sont actuellement utilisés pour détecter les attaques le plus rapidement possible. L'expert s'est ensuite concentré sur la manière de s'assurer que son entreprise puisse se rétablir en cas d'attaque. "Il faut être capable d'absorber les chocs et de continuer à aller de l'avant. C'est l'essence même de la résilience. Avant même le lockdown, nous avons planifié un essai à blanc... qui devait avoir lieu le jour où le lockdown a effectivement commencé", souligne le CISO.

Être agile pour faire face à la multiplication des réglementations dans le secteur financier

"En outre, nous devons faire face à la multiplication des réglementations tout en maintenant une gestion des risques robuste en étant agiles et rapides dans notre fonctionnement. C'est l'équation que nous devons résoudre", a-t-il souligné. Les experts de Finologee ont opté pour un cadre de gestion des risques durable et qui crée un lien entre les équipes et les politiques. Pour ce faire, ils ont investi dans un outil de GRC en cours de développement. "Nous ne voulons pas nous trouver en mode panique après chaque nouvelle réglementation. Nous avons maintenant un tableau central qui nous indique où nous en sommes, où nous nous situons, si nous encourons ou non des risques, etc." conclut Stéphane Chmielewski.

Covid-19: un signal d'alarme pour que les entreprises investissent dans la résilience

Philippe Dann, Head of Risk and Business Advisory, EBRC
Philippe Dann, Head of Risk and Business Advisory, EBRC

Philippe Dann (Head of Risk and Business Advisory, EBRC) est également intervenu lors du webinaire et a commencé par expliquer qu'EBRC est un partenaire de confiance reconnu et doit donc assurer la résilience de ses clients. "Depuis la création de l'entreprise, sa mission a été de concevoir et de proposer des services sécurisés et résilients pour ses clients. Nous devons admettre que la Covid-19 a fait plus pour la résilience qu'EBRC qui en a pourtant fait la promotion au cours des 20 dernières années. Nous avons clairement remarqué une évolution dans la perception et dans la façon dont les organisations considèrent la résilience dans leur stratégie globale", a-t-il commenté.

Philippe Dann a souligné que le secteur des services financiers était bien préparé grâce au nombre croissant de lois adoptées ces dernières années, par rapport à d'autres secteurs. "Dans plusieurs autres secteurs, la sécurité de l'information et la continuité des activités étaient principalement des questions informatiques, mais elles sont désormais considérées comme une priorité essentielle pour les cadres supérieurs et les chefs d'entreprise. Elles protègent l'organisation, assurent sa survie, agissent comme un catalyseur d'activité et même comme un facteur de différenciation sur le marché. En fait, nous sommes passés d'un point de réglementation obligatoire à un élément clé de la stratégie d’une entreprise, et nous avons donc transformé une contrainte réglementaire en un atout stratégique essentiel", a ajouté le Head of Risk and Business Advisory.

Selon lui, la résilience - et la capacité à fonctionner de manière résiliente - est désormais un facteur clé de succès, et un point stratégique essentiel pour toutes les parties prenantes, des employés et des clients aux partenaires et aux autres entreprises. Il souligne : "aujourd'hui, une entreprise vit et travaille dans un écosystème. Les entreprises doivent s’assurer de leur propre résilience, mais elles s'appuient également sur des partenaires qui doivent être aussi résilients. Si elles travaillent avec une organisation qui ne soutient pas leur résilience, la chaîne de résilience est en fait interrompue". En ce qui concerne la perspective du client, il préconise de prendre en compte deux éléments clés : la préparation et l'aspect humain. Philippe Dann conclut : "les organisations qui se sont préparées, ont fait des tests, se sont concentrées sur la gestion de crise, ont défini les rôles et les responsabilités, etc. ont survécu à la crise de la Covid-19. De même, les collaborateurs doivent être impliqués et formés, sinon on peut facilement créer une crise par-dessus la crise. Plus que jamais, les RH sont devenues l'un des principaux points stratégiques de toutes les organisations. Chez EBRC, nous avons suivi la situation en février, nous avons fait un test de résistance et tous les employés ont pu travailler à domicile grâce à cette préparation. Et nous avons continué à servir nos clients sans aucune perturbation”.


Notre table ronde

Suite à leurs présentations éclairantes, les experts qui ont participé au webinaire d'EBRC se sont ensuite réunis pour une table ronde animée par David Hagen (fondateur, HAGEN Advisory). Ils se sont notamment penchés sur l'avènement de la notion de résilience, sur l'importance des fournisseurs, et évidemment sur l'impact de la Covid-19.

La gestion des risques dans le secteur financier : une approche holistique de la résilience opérationnelle

Alexandre Castaing (GRM, Head of Cyber, Tech and Fraud Risk – Europe et APAC chez RBC, et président d’ISACA Luxembourg) a d'abord évoqué la digitalisation : "lorsque la crise de la Covid-19 a commencé, de nombreuses organisations ont dû repenser leur façon de travailler et de faire des affaires. Comment interagissent-elles avec les autres parties prenantes ? Quels sont les points de rupture ? Par exemple, plusieurs autorités fiscales n'acceptent tout simplement pas les signatures numériques. Nous avons donc dû trouver un moyen de contourner ce problème".

Il s'est ensuite penché sur la gestion des risques et les approches fondées sur des scénarios. "Les grandes entreprises utilisent déjà de tels concepts, mais cela dépend en fait de la maturité des organisations. Aujourd'hui, les acteurs ne considèrent pas la résilience uniquement sous l'angle de l'informatique et de la technologie, mais plutôt dans une perspective de bout en bout de leurs processus. Cela va de leurs infrastructures internes, héritées (legacy), cloud, etc., à la façon dont leurs fournisseurs peuvent réellement soutenir leurs processus. La transparence est le mot clé ici", souligne l'expert.

Lorsque la Covid a frappé, RBC avait déjà abordé sa transformation digitale interne, même si ce long parcours n'est pas encore complètement achevé. "La crise a éclairé davantage de points de rupture, notamment en ce qui concerne les relations que nous entretenons avec les fournisseurs tiers et les clients, qui utilisent tous des outils différents et ont des priorités différentes", a-t-il commenté. Là encore, la confiance est un élément crucial dans les relations avec les partenaires et les fournisseurs. Selon Alexandre Castaing, la crise a également mis en évidence le "risque humain" : "Nous vivions dans un monde où l'accent était mis sur la fourniture de services, sur les processus, etc. et nous avons réalisé que, pour ce faire, nous avions en fait besoin de personnes. Il faut s’assurer que vos employés restent en bonne santé, motivés et engagés”.

Conception, test et communication : éléments clés de la résilience opérationnelle

Comme l'explique Stéphane Chmielewski (CISO, Finologee), la startup n'a pas eu à gérer de systèmes hérités (legacy) et a donc construit une flexibilité dès le départ, notamment en utilisant plusieurs technologies cloud native, une architecture moderne et des micro-services. "En tant qu'entreprise relativement jeune, Finologee a évité l'énorme transition d'un environnement hérité (legacy) vers une approche plus moderne, car la transformation digitale est un sujet clé et important pour de nombreuses organisations. Évidemment, la sécurité doit aussi être intégrée dès la conception (security by design), en envisageant les scénarios les plus extrêmes. La préparation est essentielle : formez et testez régulièrement. Il ne s'agit pas seulement d’une question de conformité : la mentalité doit changer car nous passons d'une approche fondée sur la conformité à une approche fondée sur le risque", a souligné le CISO.

Selon lui, la pandémie a révélé quelques évidences : la transformation numérique s'accélère et les entreprises doivent multiplier leurs canaux. "Chez Finologee, notre objectif est d'accompagner nos clients et de les aider dans la transformation digitale de leur activité. Celle-ci est inévitablement liée à la sécurité et à la résilience", explique Stéphane Chmielewski. Pour rassurer ses clients en période de crise, le top management de Finologee a mené des conversations informelles avec leurs clients et leur a expliqué en quoi consistait leur plan de continuité d'activité. "Cela leur a offert plus de transparence et leur a montré que nous faisions ce qu'il fallait dans des moments aussi délicats. Nous avons partagé des documentations avec nos clients et envoyé des communications régulièrement, en nous assurant que nous répondions et réagissions rapidement à leurs demandes. Comme nous faisons partie de la chaîne de résilience de nos clients, notre rôle est de les rassurer et de leur prouver que le dispositif est suffisamment robuste. Nous sommes tous interconnectés".

Comme l’a souligné le CISO de Finologee, la Covid a montré que “ nous devons construire une approche de gestion de crise, qui nécessitera une formation intensive pour les cadres supérieurs et les employés. Or, il n'est pas si facile de les former à la notion de résilience, surtout s'ils travaillent actuellement à domicile. Grâce à leurs normes élevées et à leur réglementation, mais aussi en fonction de leur appétit pour le risque, les institutions financières étaient mieux préparées que les autres parties prenantes”.

Résilience opérationnelle : d'autres secteurs s'alignent sur le secteur financier

Selon Philippe Dann, "les entreprises ont réalisé qu'elles dépendent d'un écosystème et qu'elles s’appuient donc sur des partenaires. Cela montre l'importance des fournisseurs, qui doivent eux aussi être résilients. Combien d'entreprises, avant la crise de la Covid, ont réellement remis en question le niveau de sécurité et les plans de continuité des activités de leurs partenaires ? Pas beaucoup. Désormais, elles comprennent toutes l'importance de maintenir la robustesse et la résilience de l'ensemble de la chaîne. Il est donc plus important que jamais de sélectionner des partenaires de confiance".

EBRC, grâce à ses nombreuses certifications, a été en mesure de répondre aux demandes de ses clients, qui se demandaient comment l’entreprise pouvait soutenir leur continuité d'activité, alors qu'ils avaient l'habitude de concentrer leurs efforts sur la conformité. "Les acteurs du secteur financier étaient clairement mieux préparés à faire face à une telle crise, en raison de/grâce à la réglementation. Ils étaient familiarisés avec la gestion de crise et ont effectué plusieurs tests. Cette pandémie n'était qu'un scénario de plus. Dans d'autres secteurs, la continuité des activités était plutôt un sujet informatique et ils ont vite compris qu'ils devaient y travailler pour survivre", ajoute Philippe Dann.

En résumé, l'expert a partagé l'approche pragmatique d'EBRC en matière de résilience, qui s'appuie sur cinq piliers clés : (1) la sécurité de l'information comme fondement de la protection des actifs, (2) la continuité des activités qui ne concerne plus seulement l’IT, (3) la nécessité d'identifier les risques et de disposer de plans de traitement appropriés, (4) la nécessité d'être préparé et enfin (5) l'idée que la résilience est devenue un véritable programme d'entreprise dirigé par le top management et avec la participation de tous les employés et parties prenantes.

La résilience : l'atténuation ultime des risques opérationnels ?

Dans son discours d'introduction, David Hagen a expliqué que "la résilience est l'ultime moyen d'atténuer les risques opérationnels". Philippe Dann en a convenu et a ajouté : "la résilience est un facteur clé de l'agilité et de la confiance, au sein de l'entreprise, sur le marché et avec les partenaires. Elle aidera les entreprises à faire face à de nouvelles situations et à de nouvelles demandes". Selon Stéphane Chmielewski, la résilience doit être intégrée dans une stratégie à long terme, "car les conditions et l'environnement changent rapidement". Alexandre Castaing a mis l'accent sur le passage aux risques non financiers, rendant le concept de risque beaucoup plus large : "par conséquent, la résilience ne doit pas faire oublier les autres aspects que nous devons prendre en compte, comme l'intégrité des données, l'éthique des données, l'IA, etc.".

“ Les données sont le bien le plus précieux d’une entreprise dans notre monde digital actuel. Par conséquent, l'intégrité et la sécurité des données sont cruciales. Les entreprises doivent protéger les informations. Il faut également que ces dernières soient cryptées, disponibles, etc, et il faut disposer de capacités de sauvegarde robustes. Nous revenons au concept de CIA : Confidentialité, Intégrité et Disponibilité (Confidentiality, Integrity, Availability). Ensuite, les entreprises doivent pouvoir répondre aux besoins du métier", explique alors le CISO de Finologee. Alexandre Castaing a insisté sur la nécessité de tester la sauvegarde ainsi que l'identification rapide de ce qui a été impacté en cas d'attaque. "Il faut utiliser les méthodes d’analyse et de récupération (forensics) pour vérifier et contenir la menace le plus rapidement possible. Lors de la mise en place d'une stratégie de récupération, l'objectif premier doit être de repartir sur un environnement sûr et dénué de menaces", a ajouté l'expert.

Résilience opérationnelle : récapitulatif

Pour conclure cette discussion ainsi que le webinaire autour du thème de la résilience dans le secteur financier, David Hagen a énuméré certains des points clés abordés au cours de la journée par les experts. Il a d'abord rappelé qu'en période de crise, les fournisseurs sont essentiels et doivent être aussi résilients que les entreprises elles-mêmes, afin de maintenir une chaîne de valeur de résilience forte. Il a ajouté : “ dans un environnement global, la chaîne d'approvisionnement a besoin d'une gouvernance globale". Il a également mis l'accent sur le fait que "l'aspect humain se retrouve de nouveau au cœur des affaires, les entreprises étant conscientes des préoccupations des employés travaillant à domicile. C'est l'un des aspects les plus optimistes de cette crise de la Covid. Plus généralement, la Covid a fait prendre conscience aux entreprises de l'importance de l'anticipation. Celles qui n'étaient pas préparées avant la crise ont vécu des difficultés à mettre en place le télétravail. Par exemple, la pénurie immédiate d'ordinateurs portables a posé problème". Pourtant, le secteur des services financiers était suffisamment mature et a pu éviter de tels problèmes. De même, les entreprises qui avaient parié sur le digital et la technologie ont eu un avantage pour survivre à la crise. "Pour renforcer la résilience, il faut commencer par une bonne analyse des risques en fonction de l'activité et déterminer ces risques en fonction des vulnérabilités et des menaces. En outre, les entreprises doivent désormais tenir compte de l'horizon du risque : quand la crise surviendra-t-elle ? Par exemple, le risque de pandémie était réel et les experts savaient qu'elle allait frapper... mais personne n'a supposé qu'elle se produirait si tôt", a commenté l'expert. Selon lui, l'analyse des risques visant à créer la résilience est un exercice difficile qui nécessite diverses évaluations et un jugement hétérogène de la part des experts, car l'évaluation des risques est un élément culturel qui varie dans le temps. "Il est donc nécessaire d'utiliser des méthodologies quantitatives afin d'évaluer le risque de manière impartiale. Cette tâche nécessite d’avoir recours à des spécialistes et à des experts : la résilience est-elle devenue un domaine spécialisé du risque ?" conclut David Hagen, laissant la porte ouverte à une discussion future...