Risque Opérationnel Banque : DORA et la Nouvelle Approche TIC

Le risque opérationnel est l'un des trois grands risques bancaires réglementés sous Bâle III, aux côtés du risque de crédit et du risque de marché. Le risque TIC — risques liés aux technologies de l'information et de la communication — en est la composante croissante. DORA (EU) 2022/2554 vient maintenant encadrer précisément ce sous-ensemble, créant une articulation nouvelle entre réglementation prudentielle et réglementation de résilience.

Définition du Risque Opérationnel TIC

Le risque TIC est défini à l'article 3 du règlement DORA comme 'tout risque raisonnablement identifiable lié à l'utilisation des réseaux et des systèmes d'information, y compris la défaillance, le dysfonctionnement, la surcharge, la destruction, la panne, la perturbation ou l'utilisation non autorisée ou malveillante de tels systèmes, pouvant compromettre la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données ou des services fournis par voie électronique.' Cette définition est plus large que le simple risque cyber.

Composantes du Risque TIC Bancaire

Pour une banque, le risque TIC comprend plusieurs composantes distinctes. Le risque de disponibilité : indisponibilité des systèmes impactant les clients (accès en ligne, virements). Le risque d'intégrité : altération non autorisée des données (fraude, erreur système). Le risque de confidentialité : fuite de données clients ou de données de marché sensibles. Le risque de continuité : impossibilité de maintenir les services critiques en cas de crise majeure.

Incidents TIC Historiques dans le Secteur Bancaire

Le secteur bancaire français a connu plusieurs incidents TIC majeurs ces dernières années. Des pannes d'accès en ligne prolongées, des incidents de traitement des virements SEPA, des violations de données clients. Ces incidents montrent que le risque TIC n'est plus théorique mais une réalité opérationnelle avec des impacts clients et réputationnels directs.

Articulation DORA — Bâle III / CRR

La réglementation prudentielle Bâle III (transposée dans le CRR/CRD) impose aux banques de détenir des fonds propres au titre du risque opérationnel, calculés selon des approches standardisées ou avancées. DORA n'impose pas de charges en fonds propres supplémentaires mais renforce le dispositif de maîtrise du risque opérationnel TIC, ce qui peut indirectement réduire la fréquence et la sévérité des incidents et donc les pertes opérationnelles modélisées sous Bâle.

DORA et le Registre des Pertes Opérationnelles

Les banques maintiennent un registre des pertes opérationnelles pour les besoins de Bâle III. Les incidents TIC majeurs qui génèrent des pertes financières doivent être enregistrés. DORA crée une obligation parallèle de notification aux superviseurs pour les incidents TIC majeurs. La cohérence entre le registre des pertes opérationnelles et les notifications DORA est un point d'attention lors des inspections.

Impact sur l'Appétit au Risque

DORA implique une mise à jour du cadre d'appétit au risque (Risk Appetite Framework) des banques. Le risque TIC doit y figurer avec des indicateurs de risque clés (KRI) quantitatifs : taux de disponibilité des systèmes critiques, nombre d'incidents par période, délais de rétablissement. Ces KRI doivent être reportés régulièrement à l'organe de direction conformément à l'article 5 du règlement DORA.

Conclusion

DORA enrichit la gestion du risque opérationnel bancaire en imposant un cadre précis pour sa composante TIC. Loin de créer une redondance, il complète Bâle III en ajoutant la dimension de résilience opérationnelle à la dimension prudentielle. Les banques qui intègrent DORA dans leur gestion globale des risques — et pas seulement comme projet IT — en tirent les bénéfices les plus durables.