Le risque TIC (Technologies de l'Information et de la Communication) est devenu le principal risque opérationnel du secteur financier. Avec la numérisation complète des activités financières, la défaillance des systèmes informatiques n'est plus un risque secondaire mais un risque existentiel pour les entités qui n'auraient pas de plan de continuité. Le règlement DORA (EU) 2022/2554 est la réponse réglementaire européenne à cette réalité.

Panorama des Risques TIC dans la Finance

Les risques TIC dans le secteur financier se déclinent en plusieurs catégories. Le risque cyber (attaques malveillantes) : ransomware, phishing, attaques sur les systèmes SWIFT, fraudes via des accès compromis. Le risque de panne (dysfonctionnements non malveillants) : bugs logiciels, défaillances matérielles, erreurs de configuration lors de mises à jour. Le risque de dépendance (prestataires) : défaillance d'un fournisseur cloud, interruption d'un service SaaS critique. Le risque de données : corruption, perte ou vol de données financières ou personnelles.

Incidents TIC Majeurs : Coûts Réels

Les incidents TIC majeurs dans la finance ont des coûts multidimensionnels. Coûts directs : réponse à l'incident (forensic, remédiation), pertes d'exploitation, transactions non traitées. Coûts réglementaires : amendes RGPD, sanctions superviseurs, coûts de mise en conformité post-incident. Coûts réputationnels : perte de clients, dégradation de la note de crédit, impact sur la valorisation boursière. Coûts légaux : indemnisations clients, contentieux, frais juridiques. Sur les grands incidents, ces coûts combinés se comptent en centaines de millions d'euros.

La Réponse DORA au Risque TIC

DORA structure la réponse au risque TIC autour de cinq piliers complémentaires : gouvernance et gestion des risques TIC (prévention), notification des incidents (réaction réglementaire), tests de résilience (validation de la préparation), gestion des tiers (maîtrise de la chaîne de valeur technologique), et partage d'informations (intelligence collective). Ensemble, ces cinq piliers forment un écosystème de résilience systémique pour le secteur financier européen.

Conclusion

Le risque TIC est le risque opérationnel dominant du secteur financier dans les années 2020. Sa gestion ne peut plus être déléguée au seul département informatique : elle requiert une gouvernance de haut niveau, des investissements substantiels et un cadre réglementaire robuste. DORA fournit ce cadre pour l'ensemble du secteur financier européen.

Questions fréquentes

Quels sont les incidents TIC les plus fréquents dans la finance ?

Selon les données superviseurs, les incidents TIC les plus fréquents dans la finance sont les pannes de systèmes (incidents non malveillants, souvent lors de mises à jour), les attaques de phishing ciblant les employés, les attaques DDoS sur les services en ligne, et les ransomware. Les violations de données sont moins fréquentes mais plus médiatisées.