Pourquoi les banques doivent allier technologie, gestion des risques et sécurité
Dans l’environnement bancaire dynamique actuel, il est devenu indispensable de gérer plus efficacement les risques technologiques. L’adoption rapide de nouveaux outils et de nouvelles solutions numériques expose en effet les banques à une multitude de dangers susceptibles de nuire à leurs opérations.
Ces menaces, qui font peser une pression accrue sur les dirigeants, peuvent aller des cyberattaques aux défaillances logicielles, en passant par les fraudes et les erreurs de configuration. Selon une enquête menée par ServiceNow et ThoughtLab auprès de 750 responsables du secteur bancaire opérant à l’échelle mondiale, sept PDG sur 10 affirment ainsi que les risques technologiques constituent le principal danger pour leur entreprise. 64 % d’entre eux s’attendent même à ce qu’ils augmentent au cours des deux prochaines années.
De surcroît, les régulateurs exigent que les conseils d’administration et les cadres supérieurs assument davantage de responsabilités dans ce domaine. Quatre banques sur 10 veillent donc à ce que leurs dirigeants supervisent la gestion des risques technologiques, et ce chiffre devrait encore augmenter durant les deux années à venir.
La nécessité d’une meilleure gestion des risques technologiques
L’accélération de l’innovation digitale doit aller de pair avec une meilleure gestion des risques et une plus grande résilience. Environ un quart des cadres supérieurs et plus d’un tiers des directeurs d’exploitation affirment en effet que les inquiétudes liées aux menaces technologiques empêchent leur entreprise d’innover.
Par ailleurs, 23 % des cadres supérieurs et 27 % des directeurs des systèmes d’information estiment que leurs innovations peuvent être source de danger, dans la mesure où les équipes chargées de l’IT, des risques et de la sécurité ne sont pas impliquées suffisamment tôt dans le processus. Près de la moitié des dirigeants pensent également que ces services doivent travailler en étroite collaboration afin de parvenir à limiter les risques technologiques.
Les capacités internes sont tout aussi importantes, si ce n’est plus, que les forces externes. En effet, d’après The Financial Brand, les attaques menées par les pirates informatiques et autres acteurs malveillants ne représentent que 6 % de l’ensemble des défaillances touchant les grandes banques.
La plupart des incidents majeurs résultent plutôt d’événements pouvant être maîtrisés de l’intérieur, tels que des dysfonctionnements logiciels, des processus de changement inadaptés, des problèmes de déploiement et des erreurs humaines. Ce constat montre à quel point il est important de favoriser une collaboration transversale, réunissant des experts des risques liés aux technologies, aux ressources humaines, aux processus, etc.
L’incidence des données et des équipes cloisonnées
Bien que la plupart des banques disposent de systèmes, de technologies et de processus leur permettant de gérer les risques, ces dispositifs opèrent généralement de manière ponctuelle, renforçant encore davantage les silos entre les collaborateurs, les processus et les données. Pourtant, selon l’étude de ServiceNow et ThoughtLab, le cloisonnement des données et des outils constitue le principal défi technique en matière de gestion des risques technologiques dans le secteur bancaire.
Lorsque les équipes et les données sont déconnectées, il est extrêmement difficile de s’assurer que les services chargés de la sécurité et de l’IT gèrent convenablement les risques tout au long du cycle de vie de la technologie et respectent les règles de conformité. Ce cloisonnement empêche souvent les directeurs de la gestion des risques, les responsables de la sécurité de l’information et les leaders technologiques de disposer d’une visibilité claire et à jour concernant les niveaux de risques, l’efficacité des contrôles et les mesures correctives.
Même dans les banques ayant atteint un niveau de maturité élevé face aux menaces, 40 % des personnes interrogées estiment que les décideurs chargés des systèmes informatiques, de la cybersécurité et des risques n’ont qu’une visibilité partielle de l’infrastructure IT, des systèmes de sécurité et des processus business.
Communication et coordination au service de meilleurs résultats
Allier technologie, sécurité et maîtrise des menaces est une étape importante pour prendre le chemin de l’innovation et de la croissance en se positionnant en leader de la gestion des risques et de la résilience.
C’est certainement la raison pour laquelle 62 % des entreprises les plus matures sur ces questions comptent renforcer la collaboration entre les services chargés de l’IT, de la gestion des risques et de la cybersécurité au cours des deux prochaines années. Une organisation et une culture adaptées au sein de ces équipes peuvent en effet resserrer les liens entre toutes les composantes du système de défense de l’entreprise et ainsi renforcer sa posture en matière de risques.
Comme l’explique le responsable mondial de la gestion de crise, des cyber-risques et des risques technologiques d’une banque universelle française de premier plan : « Avant, les équipes IT et de cybersécurité travaillaient de manière isolée, mais nous avons appris à mieux coordonner nos activités avec les autres services. Nous sommes peut-être capables de régler les problèmes techniques, mais pas les questions tactiques ou stratégiques. Nous nous efforçons donc de briser les silos. »
Les équipes IT et de cybersécurité se rendent comptent qu’elles doivent davantage travailler les unes avec les autres ainsi qu’avec toute une série de décideurs métiers, notamment le PDG, les cadres supérieurs et les responsables des risques opérationnels et financiers. En vue d’améliorer la coordination, plus d’un quart des leaders du secteur ont ainsi élargi le rôle de responsable de la gestion des risques afin d’y inclure les menaces IT, un pourcentage qui devrait atteindre 36 % d’ici deux ans.
Orchestration et supervision intelligentes
Les plateformes intégrant la gestion des risques offrent non seulement aux banques une vue d’ensemble des menaces technologiques, métiers et opérationnelles ainsi que des cyber-risques, mais également un ensemble d’outils standards permettant de les maîtriser.
Selon notre étude, au cours des deux prochaines années, la quasi-totalité des leaders en matière de gestion des risques technologiques (et les trois quarts des organisations moins matures) utiliseront une plateforme de gestion intégrée des menaces. Cette approche se révélera donc essentielle pour les banques souhaitant inclure les dangers liés à la technologie dans leur cadre de travail des risques et adopter une approche plus holistique du problème.
Lorsque les équipes chargées de la gestion des risques, de la sécurité et de la technologie collaborent pour orchestrer et superviser intelligemment les processus depuis une seule plateforme, les banques peuvent gagner sur plusieurs tableaux.
- Amélioration de la posture en matière de risques : Les institutions financières peuvent identifier les risques et y répondre rapidement. Les équipes sont en mesure de gérer les risques et les menaces avant toute violation de données ou incidence sur les conclusions d’audit. En surveillant en permanence la technologie et les contrôles de sécurité, les entreprises sont capables de réduire le nombre d’incidents prioritaires, ce qui leur permet de renforcer leur posture en matière de risques et de conformité.
- Renforcement de la sécurité : En vous appuyant sur un environnement rationalisé qui couvre tous les services, vous pouvez moderniser vos opérations de sécurité afin d’optimiser la résilience et la productivité de votre entreprise, tout en limitant les coûts.
- Réduction des coûts : L’automatisation intégrée à chaque étape du processus de gestion des risques et de la conformité peut réduire considérablement les interventions humaines ainsi que les pertes opérationnelles dues à d’éventuelles amendes, conclusions d’audit ou défaillances.
- Accélération de l’innovation : En adoptant des systèmes et des processus unifiés, les chefs d’entreprise et les responsables IT peuvent innover plus rapidement, tout en réduisant les risques.
Pour en savoir plus, consultez le rapport de recherche : Maîtriser les risques technologiques dans le secteur bancaire.