Rapport annuel de la BCE sur les risques IT

Le rapport annuel sur les conclusions de l’IT Risk Assessment conduit par la Banque Centrale Européenne est sorti cet été. Il a été réalisé dans le cadre des travaux du Supervisory Review and Evaluation Process (SREP) en se basant sur un questionnaire portant sur les différents domaines du risque IT.

  • Le rapport se base sur des données collectées en 2018, issues de plus de 100 réponses au questionnaire adressé aux institutions financières de la zone euro, des missions de contrôle effectuées sur site ainsi que les incidents Cyber collectés par la Supervision Bancaire de la BCE.

  • En 2018, 22% des répondants sont des organismes de crédit Retail ou sectoriel.

Les principales observations à retenir sont les suivantes :

  • Après la première auto-évaluation de 2017 dans laquelle les niveaux de risque remontés étaient sous-estimés, les niveaux de 2018 ont été globalement revus à la hausse sur l’ensemble des risques IT. Les 5 catégories de risques définies par l'EBA sont la Sécurité IT, la disponibilité des services, la gestion des changement, l’intégrité des données et l’IT Outsourcing.

  • Le rapport a mis l’accent sur le risque que représente les systèmes obsolètes (End of Life) sur lesquels des processus critiques continuent de tourner. Le nombre d’institutions qui ont déclaré des dépendances vis-à-vis de ces systèmes EOL a augmenté de 14% entre 2017 et 2018 pour s’établir à 77%.

  • Les risques Cyber restent élevés de manière générale, un lien direct est établi avec les systèmes EOL et la complexité des systèmes d'information.

  • Les dépendances vis-à-vis des fournisseurs ont fait accroitre les risques liés à l’IT Outsourcing.

  • Le rapport tente, sans vraiment y parvenir, de faire une corrélation entre le nombre d’administrateurs avec une compétence IT et différents indicateurs de risque IT. La doctrine de la supervision de la BCE insiste sur l’importance d’inscrire régulièrement ces risques à l’ordre du jour des conseils d’administration.

L’organe de supervision prend acte de la tendance observée vers des auto-évaluations plus prudentes même si elles ne couvrent pas l’ensemble des risques IT. La supervision prévoit de porter une attention particulière sur les menaces cyber, les systèmes obsolètes EOL - pour lesquels des demandes explicites de remontée d’information seront formulées - et enfin le risque d’externalisation en vérifiant le degré de maturité des processus de pilotage des services externalisés et leur intégration dans les plans de contrôles permanents.