Résilience opérationnelle : définition et exigences réglementaires

Le 13 mars 2025, easyReg a organisé un webinaire sur le thème de la résilience opérationnelle : Circulaire FINMA 23/01 et DORA, des réglementations d’actualité en Suisse en 2025. Cet article est le premier d’un triptyque sur le sujet. Il reprend les échanges sur la définition de la résilience opérationnelle. Il détaille les sources réglementaires applicables aux établissements financiers ainsi que le calendrier. Deux autres articles suivront. L’un apportera des conseils pour implémenter les exigences réglementaires en matière de résilience opérationnelle. Le dernier réalisera une analyse de DORA, le règlement européen qui donne un cadre pour gérer les risques liés aux TIC (technologies de l’information et de la communication).

1. Un webinaire très suivi et organisé par des acteurs experts de la réglementation financière

Chez easyReg, nous organisons des webinaires accessibles via LinkedIn sur des sujets d’actualité dans le domaine de la réglementation bancaire. La page de notre site, dédiée à cette thématique, vous donne les informations sur les prochains évènements à mettre dans votre agenda. Par exemple, le 9 avril, nous abordons les risques financiers liés à la nature.

Ce 12 mars 2025, de nombreux participants ont suivi les échanges nourris autour de la résilience opérationnelle entre les trois intervenants :

• Jean-Philippe Bernard, cofondateur de la société OPCIS Services et enseignant en risques et contrôles à l’ISFB ;
• Enrico Giacoletto, fondateur de la solution RegTech e-Reg (easyReg) ;
• Ivan Nappo, spécialiste en réglementation financière et project manager chez easyReg.

2. Résilience et résilience opérationnelle : définition(s) pour comprendre les exigences réglementaires

Résilience vient du latin « resilire », un mot qui veut dire « rebond ». Pour Jean-Philippe Bernard, le mot essentiel est en effet rebond. Plus précisément, nous devons analyser la manière et la vitesse dont on rebondit. Notre intervenant évoque aussi l’importance de la notion d‘apprentissage, comme pour apprendre à jouer avec un ballon.

Que signifie la résilience ?

Wolfgang Kröger, directeur exécutif de l’ETH Risk Center de Zurich, donne cette définition : « la résilience est la capacité d’un système à résister à un effet négatif initial qui résulte d’un évènement nuisible ou d’une force perturbatrice interne ou externe (facteur de stress) et la vitesse à laquelle il peut revenir à une opérabilité ou un équilibre approprié ».

Définition de la résilience opérationnelle pour un organisme

Laissons le Docteur José Lamas-Valverde, CEO de gestRisk donner cette définition. Selon lui, un tel organisme adopte une orientation stratégique à long terme. Il planifie en forme détaillée les perturbations prévues ainsi que la gestion de crise et les ressources pour faire face aux imprévus. Il dispose de processus d’apprentissage et de prédiction.

Définition de la courbe de résilience

La courbe de résilience caractérise le concept de résilience opérationnelle pour une entreprise ou une organisation. Tout d’abord, le seuil de robustesse correspond au seuil au-dessous duquel il devient impossible de se rétablir. Deux types de mitigation (action d’atténuer ou de réduire la vulnérabilité) complètent la définition de la résilience opérationnelle. Il s’agit de :

• La mitigation ex ante, donc basée sur les expériences du passé, afin de ne pas descendre sous le seuil de robustesse. Elle sert à diminuer le nombre de menaces.

La mitigation ex post, donc la vérification a posteriori des faits comparés aux prévisions ex ante. Elle aide à se rétablir avec des systèmes de type workaround (solution de rechange ou palliatif) ou BCP (Business Continuity Plan).

Définition de la résilience opérationnelle selon la Circulaire FINMA 2023/01

Selon la FINMA, la résilience opérationnelle correspond à la capacité d’une banque à rétablir ses fonctions critiques en cas d’interruptions, cela dans les limites de la tolérance aux interruptions. C’est donc la faculté à la fois à identifier les menaces et les défaillances et à prendre les mesures de protection en réaction aux risques.

La Circulaire FINMA 2023/01 « Risques et résilience opérationnels – banques » spécifie aussi ce que comprennent les fonctions critiques. Ainsi, elle évoque :

• Les opérations, processus, services et ressources pour lesquels une interruption prolongée comporterait un risque de continuité des activités de l’établissement sur le marché financier ;
• Les fonctions d’importance systémique telles que définies par l’article 8 de la LB.

La notion de tolérance aux interruptions

Il s’agit ici de prévoir des scénarios extrêmes afin que la banque puisse survivre, par exemple, un ou deux jours en mode dégradé, grâce à des méthodes de contournement. Ces scénarios sont dits critiques.

La résilience, un concept plus large qu’opérationnel

La Circulaire FINMA 2023/01 se concentre sur la résilience opérationnelle dans les institutions financières. Toutefois, plus largement, la résilience touche tous les domaines, notamment le secteur financier.

Des scénarios sont à bâtir par rapport au contexte géopolitique, à l’influence des marchés financiers sur les résultats ou aux intermédiaires bancaires, par exemple. Dans ces cas, la gestion des risques présente un caractère mixte, à la fois opérationnel et financier.

Quant aux risques qui proviennent de ressources externes, comme la disponibilité de la supply chain, les fournisseurs ou les sous-traitants, ils demandent une gestion opérationnelle dans les entreprises en général, comme dans le secteur bancaire.

Pour conclure sur la définition de la résilience, elle suppose une triple gestion :

• des risques ;
• de crise ;
• de la continuité.

Différence entre résilience et BCM (Business Continuity Management)

La résilience comporte d’autres risques, évènements ou facteurs de stress, en plus de ce que prévoit un processus BCM (plan de continuité des activités).

Elle ajoute la couverture des risques liés à des changements progressifs. C’est par exemple la perte de production électronique ou d’approvisionnements en électricité et qui s’opère progressivement, en fonction d’un contexte géopolitique.

3. Rappels réglementaires sur la résilience opérationnelle et calendrier progressif en Suisse

Le concept de résilience apparaît en mars 2021 quand le Comité de Bâle publie un document intitulé « principes pour la résilience opérationnelle ».

Les origines de la résilience dans la réglementation

C’est la crise financière de 2007-2009 qui a conduit le BCBS à renforcer la capacité des établissements bancaires à affronter les risques opérationnels liés à des pandémies, des évènements climatiques, des cyber-incidents, etc. Cette crise majeure mondiale a montré que les banques présentaient des difficultés en matière de fonds propres et de liquidité.

Mais, elle a aussi mis en évidence le fait que ces établissements ne disposaient pas de la capacité suffisante à s’adapter aux circonstances afin de relever ces défis. C’est alors que les régulateurs ont souhaité ajouter des exigences en matière de résilience opérationnelle, et notamment pour toutes les banques d’importance systémique.

Les dispositions de la FINMA pour la mise en conformité des banques de catégorie 4 et 5

La liste de ces exigences constitue la manière la plus simple de comprendre le travail à mener dans chaque banque. Pour les autres établissements, de catégorie 3, comme pour ceux soumis au régime des petites banques, des ajustements existent par rapport à cette liste.

Voici les principales dispositions de la Circulaire 2023/01 pour les banques de catégories 4 et 5, hors régime des petites banques :

• Cm 101 : identification des fonctions critiques et des tolérances aux interruptions, avec leur approbation annuelle par le Conseil d’Administration.
• Cm 102 : préparation de mesures qui visent à garantir la résilience opérationnelle (avec prise en considération des scénarios graves, mais plausibles).
• Cm 105 : envoi des rapports sur la résilience opérationnelle à la Direction et au Conseil d’Administration au moins une fois dans l’année.
• Cm 106 : gestion des menaces internes et externes ainsi que des risques opérationnels induits par les fonctions critiques.
• Cm 107 : révision annuelle au minimum de l’inventaire des fonctions critiques.
• Cm 108 : pour les fonctions critiques, recensement des risques opérationnels importants et des contrôles clés.
• Cm 109 : établissement de BCP des fonctions et processus critiques ainsi que des ressources nécessaires.

💡Concernant les scénarios graves, mais plausibles, Jean-Philippe Bernard souligne la nécessité de les réviser périodiquement. Il suggère, par exemple, tous les 5 ans. En effet, certains scénarios ont une durée de vie limitée, notamment au niveau géopolitique mondial.

💡Enrico Giacoletto conseille aussi d’évoquer les scénarios dès le début de la démarche, même si cela fait partie des dernières mesures à déployer. C’est une manière de rendre le sujet de la résilience opérationnelle plus accessible pour le Conseil d’Administration.

Les échéances réglementaires en matière de résilience opérationnelle

Ces dispositions principales citées préalablement peuvent s’implémenter en plusieurs phases. Toutefois, malgré un agenda réglementaire sur 3 ans, Enrico Giacoletto recommande de s’assurer que l’ensemble des processus déployés sur le plan de la résilience fait sens et reste cohérent.

Pour les banques de catégories 4 et 5

Voici les points clés à connaître au niveau du calendrier :

• Applicable dès janvier 2024 : Cm 101 et Cm 105. C’est l’identification des fonctions critiques, des tolérances aux interruptions, ainsi que la mise en place du rapport aux organes de direction.
• Avant le 1er janvier 2025 : Cm 106 à Cm 109. Ceci comprend l’identification des menaces, l’évaluation du risque opérationnel, l’inventaire, les connexions et dépendances, les contrôles clés, la documentation des fonctions critiques ainsi que leur couverture par le BCP.
• Avant le 1er janvier 2026 : Cm 102. Ce sont les mesures de garantie de la résilience opérationnelle, avec l’intégration des scénarios graves, mais plausibles.

La notion de scénarios graves, mais plausibles qui entrent en vigueur en janvier 2026

Nous recommandons d’inclure dès à présent les organes de direction dans le travail d’identification et de choix des différents scénarios graves, mais plausibles. Notez que la FINMA donne des exemples et envisage que l’intervention de l’État puisse être induite par certains scénarios.

Les connexions et dépendances entre processus critiques et ressources

Jean-Philippe Bernard pense que ce point reste essentiel et induit souvent une certaine complexité difficilement gérable par de simples outils Excel. Vu la quantité de dépendances, chaque établissement devrait utiliser une base de données relationnelle intégrée dans un référentiel unique qui couvre les risques et les contrôles. Ce mode de fonctionnement aide à identifier rapidement les processus clés ou critiques qui dysfonctionnent en cas de survenance d’une menace.

Enrico Giacoletto ajoute l’importance de bien analyser ce qui est réellement critique, afin de déterminer ce qui doit vraiment entrer dans la gestion de la résilience opérationnelle.

Avec cet article, easyReg vous brosse le cadre réglementaire de la résilience opérationnelle pour les banques suisses. C’est la première étape pour mettre en place vos obligations liées à la Circulaire 2023/01. Le prochain article détaillera les conseils prodigués lors du webinaire, en collaboration avec Jean-Philippe Bernard de la société OPCIS, afin de déployer la résilience opérationnelle dans vos organisations. Enfin, le troisième et dernier article traitera du règlement européen DORA sur la résilience opérationnelle numérique dans le secteur financier. En tant que spécialistes de la réglementation financière, nous vous proposons notre solution RegTech, la plateforme e-Reg, par exemple pour de la veille réglementaire. Nous vous apportons aussi toute une offre de services sur mesure.