Blog

Résilience opérationnelle : comment la mettre en œuvre dans les banques ?

juin 2, 2025
mise en œuvre de la résilience opérationnelle

Nous poursuivons avec la thématique résilience opérationnelle. Lors de notre webinaire du 13 mars 2025 sur la Circulaire FINMA 23/01 et DORA, nos intervenants ont traité ce sujet sous de multiples angles. Après avoir repris leurs propos dans un premier article qui définit la résilience opérationnelle dans les banques, voici des conseils pour le déploiement pratique du processus dans les organisations financières suisses.

La résilience opérationnelle, un sujet qui s’inscrit dans toute une liste de webinaires RegTech

En tant que spécialiste RegTech suisse, easyReg vous propose depuis quelques mois des webinaires réguliers accessibles sur LinkedIn ainsi que sur la page spéciale de notre site web. Nous y traitons des sujets d’actualité en matière de réglementation financière :

Pour revenir au webinaire du 12 mars 2025, voici les trois intervenants qui ont traité le sujet de la résilience opérationnelle :

Le premier article de la thématique donne le cadre de la réglementation et la définition de la résilience opérationnelle. Pour rappel, voici comment la définir de façon synthétique :

c’est la capacité d’une banque à rétablir ses activités et services dont l’arrêt temporaire mettrait en danger sa pérennité ou son rôle sur le marché financier. Elle se mesure dans les limites de la tolérance aux interruptions fixée par la haute direction, cela pour des scénarios graves, mais plausibles.

Ici, nous vous détaillons les conseils pratiques des intervenants, afin de déployer le processus de résilience opérationnelle dans les banques. Ces recommandations font suite aux premières interventions ou audits dans les établissements financiers, ainsi qu’aux premières réactions et questions de la FINMA  

# 1 – Passer en revue les fonctions critiques, processus et ressources sous l’angle résilience opérationnelle

Ce n’est pas un sujet nouveau dans les établissements financiers. Toutefois, il mérite d’être revisité à l’occasion de la réglementation sur la résilience opérationnelle. En général, le nombre de fonctions critiques se situe entre 3 et 5 dans une banque.

Identification des activités critiques et processus critiques

La notion de fonction dépend de la méthodologie utilisée pour regrouper les processus. Jean-Philippe Bernard recommande de raisonner en termes de processus, parce que c’est du concret. Il préconise l’approche suivante pour réaliser une revue des fonctions critiques : 

  • de façon top-down, afin de disposer des activités, opérations et services critiques ;
  • puis en mode bottom-up pour recenser les processus les plus critiques dans ces mêmes activités.

Les ressources internes et externes consommées par les processus critiques

Un processus critique consomme plusieurs catégories de ressources internes, tout comme externes. Il en dépend aussi. Vous devez les passer en revue.

Analyse des ressources internes

Les ressources internes correspondent aux ressources humaines, l’infrastructure immobilière et matérielle ainsi que les TIC (technologies de l’information et de la communication). Pour la majorité, le plan de continuité des activités (BCM) les intègre déjà. Toutefois, Jean-Philippe Bernard recommande pour les ressources immobilières et matérielles de bien prendre en considération désormais la partie climatique et ESG ainsi que ses impacts.

En matière de résilience opérationnelle, passez en revue ces ressources internes sous l’angle du niveau de vulnérabilité face aux menaces. Évaluez aussi les conséquences en termes d’indisponibilité à l’occurrence de ces menaces. 

Pour ce travail sur les ressources internes, basez-vous sur la reprise des BIA (Business Impact Analysis, soit l’analyse d’impact de l’activité) réalisée dans l’approche BCM. Ceci fait appel aux notions de :

  • DMIA (durée maximale d’interruption de l’activité) ;
  • RTO (objectif de temps de récupération) 
  • RPO (objectif de point de récupération), soit le seuil de risque de perte.

💡Jean-Philippe Bernard conseille de toujours disposer de la vision liée aux exigences des métiers, puis celle des gestionnaires de ressources. Cette démarche donne les écarts ou divergences qui peuvent exister.

Analyse des ressources externes

C’est un des points clés traités par la Circulaire FINMA 23/01. C’est de la responsabilité de la banque de réaliser cette analyse des ressources au regard de la résilience opérationnelle. Il faut donc prendre en compte les sous-traitants, qu’il s’agisse d’approches ITO (IT Outsourcing) ou BPO (Business Process Outsourcing). S’y ajoutent aussi des prestataires ponctuels ainsi que des intermédiaires bancaires (contreparties, dépositaires, correspondants, etc.).

Même si la banque a peu de moyens de maîtrise sur les vulnérabilités de ces ressources et de leurs propres processus, comment procéder ?

  • Prendre en compte les critères de résilience lors de la sélection de ces intervenants extérieurs.
  • Contractualiser avec les entreprises prestataires sur la base de SLA (Service Level Agreement, soit des accords de niveau de service).
  • Exiger des certifications et analyser les reconnaissances ISAE 3402 level 2 (rapports) en matière de fonctionnement des processus et du contrôle interne chez un prestataire de service. Ces reconnaissances attestent de l’efficacité opérationnelle des contrôles sur 6 mois minimum, ce qui procure une assurance raisonnable.
  • Enfin, réaliser tout simplement des tests périodiques. Ainsi, vous vous assurez de la fiabilité des processus de vos ressources extérieures et du respect des engagements de ces fournisseurs, en cas d’incidents ou d’évènements à risque.

Focus sur les TIC, un sujet majeur en matière de résilience opérationnelle bancaire

Les ressources externes du type TIC constituent un sujet fondamental. Car, dans les scénarios bâtis, les attaques du type cyber, tout comme les pannes informatiques ou d’applications générées par la cybercriminalité, occupent une place de choix.

En s’inspirant des normes ISO 27 000, la banque gère correctement ces aspects, tant pour la conception, le développement ou l’exploitation. Toutes les erreurs potentielles classiques sont évitées. Mais, en matière de résilience, l’établissement financier doit aussi compléter l’approche avec les conséquences possibles de telles cyberattaques.

Concrètement, procédez ainsi afin de mettre à jour en permanence les catalogues de menaces, par exemple MITRE ATT&CK

  • Analysez les ressources TIC face aux dangers externes (leur vulnérabilité).
  • Étudiez les mesures ex ante qui sont en mesure d’alléger cette vulnérabilité des ressources externes TIC, comme des systèmes de protection des infrastructures IT ainsi que des réseaux.
  • Mettez en place, en plus, des contrôles de détection au sein du service de contrôle interne (SCI).

Jean-Philippe Bernard souligne que le responsable de la sécurité du système d’information (RSSI) ou le directeur de la sécurité de l’information (CISO) doit entrer dans une approche risque opérationnelle afin de garantir la résilience.

#2 – Retenir une approche homogène pour la résilience opérationnelle

Enrico Giacoletto explique que tous les acteurs doivent adopter une approche homogène, même si le calendrier de déploiement de la résilience opérationnelle en plusieurs étapes peut contrecarrer cette homogénéité pourtant essentielle. 

Ce qui peut aussi complexifier la démarche, c’est l’obligation de s’assurer en permanence que l’établissement reste bien aligné avec les hypothèses et moyens définis dans le plan de continuité des activités (PCA ou BCM).

Cette approche homogène et systémique intègre la gestion de crise, son organisation, ses processus ainsi que les outils pour décider « sous stress » sur des scénarios non prévus au départ. Ce processus garantit des réponses adaptées et dimensionnées correctement, face aux risques et menaces identifiés.  

💡Vous établissez le reporting unique annuel à destination du Board, avec la présentation du concept de résilience. Enrico Giacoletto vous conseille de vous assurer qu’il est homogène, aisément explicable et pensé de façon globale. Si ce n’est pas le cas, il conviendra d’améliorer cette homogénéité l’année suivante.

#3 – Adopter un référentiel unique et commun : nécessité et avantages

Jean-Philippe Bernard l’a expliqué dans l’article précédent sur le cadre de la résilience opérationnelle : la gestion des données, tant pour leur cohérence, leur qualité que leur mise à jour est un vrai défi. C’est illusoire de vouloir y parvenir avec de simples fichiers Excel. Les établissements bancaires doivent se doter d’un référentiel unique. Cela permet de mieux gérer les dépendances entre les objets à risque, les contrôles, process, menaces, ressources, etc.

Les avantages d’un référentiel unique (Enterprise Risk Management Repository)

  • Consolider l’approche résilience dans la gestion globale des risques opérationnels.
  • Renforcer la sensibilisation et l’implication des premières lignes pour garder une vision proche du business et ainsi simplifier la récolte par l’unité risque de multiples données (car le langage risque sera uniforme).
  • Déduire rapidement, dans le cadre d’une gestion de crise, l’impact d’une indisponibilité totale ou partielle des ressources sur les processus critiques.
  • Savoir quelles priorités prendre en compte afin de mettre en place les mesures les plus utiles, etc.

La granularité du référentiel unique

Veillez à retenir un niveau de détail adapté pour couvrir tous les sujets, tout en garantissant la cohérence et la possibilité de mise à jour des données.

Les économies induites par un référentiel unique

Jean-Philippe Bernard précise que la création d’un tel référentiel prend du temps et coûte de l’argent. Mais le rapport bénéfices/coûts s’avère très intéressant, vu les économies significatives que permet ce processus pour tous les projets de mise en conformité. En effet, toutes les exigences réglementaires tournent autour des mêmes données de base incluses dans le référentiel unique.

#4 – Retenir une vision globale très tôt et éradiquer les approches du type alibi

Pour la résilience opérationnelle, il convient d’expliquer et de démontrer que l’établissement financier fait ce qu’il a dit qu’il ferait. Il ne s’agit plus ici d’un processus du type « je coche la case » afin de trouver des solutions, au fur et à mesure qu’apparaissent les nouvelles échéances réglementaires.

Nous rappelons que, malgré un calendrier de mise en place de la résilience opérationnelle en plusieurs étapes, l’approche globale et la cohérence s’imposent dès le début du processus.

Comme l’explique Enrico Giacoletto par une métaphore de l’animal hybride, raisonner étape par étape et se comporter toujours en réaction conduisent à résoudre le problème seulement partiellement. Tout comme, si vous dessinez un animal en plusieurs fois, le résultat manque d’homogénéité par rapport à un travail réalisé d’un seul coup.

Toutefois, gardez en tête que le régulateur attend probablement que la banque adapte ce qu’elle a réalisé, avec une montée en puissance du processus de résilience opérationnelle. Aussi, avant la fin du calendrier, les banques disposent de suffisamment de temps pour étudier les travaux déjà accomplis et s’assurer de l’homogénéité de leur approche.

#5 – Un reporting sur la résilience opérationnelle simple et compréhensible de tous

Qui dit exigences réglementaires, dit reporting à la haute direction de l’établissement. Vous devez lui donner les moyens d’analyser de façon éclairée les actions de l’exécutif en vue de garantir la résilience opérationnelle. Mais, le reporting sert aussi à l’exécutif.

Le reporting sur la résilience à l’usage de la haute direction de la banque

Ce reporting découle d’une exigence explicite de la circulaire FINMA 2023/01

En effet, la haute direction a l’obligation de :

  • recevoir cette information annuelle sur la capacité de résilience de l’organisation ;
  • valider les fonctions critiques identifiées ;
  • se prononcer sur la tolérance aux interruptions des fonctions critiques.

💡Enrico Giacoletto conseille de réaliser un reporting spécial résilience, même si les informations existent ailleurs dans divers autres documents. Il contient la description des processus et des fonctions critiques, ainsi que la tolérance. Il détaille les étapes retenues lors du raisonnement, donc la méthode.

💡Enrico Giacoletto explique aussi le besoin de vulgarisation, afin d’aider la haute direction à donner son avis sur la capacité de résilience de la banque. Le reporting doit décrire les scénarios, hypothèses et mesures de façon simple et compréhensible par des non-experts.

Le reporting pour l’exécutif

L’exécutif a la charge de gérer dans les faits les risques opérationnels. Il propose des mesures correctives pour les ramener dans la tolérance retenue. L’accès à un reporting détaillé lui donne la faculté d’approfondir ses analyses et recommandations.

Vous disposez désormais de conseils pratiques pour avancer dans le déploiement de la résilience opérationnelle, en conformité avec la circulaire FINMA 2023/01. Notre article suivant se concentre sur le règlement européen DORA, pour la résilience opérationnelle numérique dans le secteur financier. Il traite des considérations relatives aux activités transfrontalières. Nous évoquons aussi les effets de contagion groupe notamment. Vous souhaitez échanger sur vos problématiques en matière de résilience opérationnelle ? Chez easyReg, nous restons à l’écoute. Vous pouvez nous contacter ou programmer une demo de notre solution RegTech.