Dossiers
Chroniques
Guides et carnets
Évènements
Podcast
Alliancy TV
Alliancy Connect
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Alliancy Studio
Alliancy Le Mag
Alliancy Les Cercles
Dossiers
Chroniques
Guides et carnets
[L’analyse] Face à la multiplication des réglementations, les chantiers, particulièrement coûteux, s’accumulent. DSI et CDO des banques et assurances sont en ordre de bataille pour respecter les délais. La clé du succès tient en un mot : l’anticipation.
Le compte à rebours est lancé. La mise en œuvre progressive des accords de Bâle III débute au 1er janvier 2025. La réglementation sur la résilience européenne (DORA) s’applique également dès la mi-janvier 2025. L’entrée en vigueur de l’AI Act est annoncée pour 2026. Le planning du secteur bancassurance s’annonce chargé en 2024. Rien d’étonnant pour François-Xavier Deucher. « Depuis la crise de 2008, on observe une hausse de l’intensité réglementaire pour protéger le marché », remarque l’analyste chez Fitch. « Le secteur est constamment obligé de s’adapter et de se réinventer pour respecter les lois européennes. » Tous les niveaux des entreprises financières sont concernés, et plus particulièrement, le numérique.
Dès l’an prochain, DORA obligera les banques à mieux cartographier et gérer les risques cyber. Autre changement majeur, les établissements devront maîtriser et contrôler les risques systémiques de leurs fournisseurs. Les exigences de l’AI act se portent principalement sur la transparence des données utilisées pour bâtir les modèles d’IA. S’ajoutent à cela les textes propres au secteur bancaire. « Il ne faut pas sous-estimer l’impact de Bâle III sur le numérique », alerte Hervé Alexandre, professeur de finance à l’Université Paris-Dauphine. « Les exigences de fonds propres ou de ratios de liquidité obligent les banques à mettre en place des systèmes d’information capables de traiter ces données ou encore de créer des programmes capables de calculer ces ratios. »
Des chantiers de tous les côtés
Problématiques de stockage de données, création de pare-feux, mise à jour des processus, industrialisation des contrôles de sécurité… La liste des dossiers est infinie. Or, les banques ne partent pas de zéro. « le système d’information des banques s’est construit progressivement, depuis les années 1980 », rappelle Hervé-Alexandre. « Cela constitue un frein à une évolution plus rapide et agile des banques vers le tout numérique. » Dans ce contexte, une refonte totale des systèmes est donc inenvisageable.
Les DSI sont en ordre de bataille pour répondre aux exigences de ces textes. « L’étape la plus importante, c’est de cartographier le système d’information de la banque et d’identifier les risques majeurs », souligne Jacques Bodilis, RSSI du Crédit Mutuel Arkea. Ensuite, « Il s’agit de renforcer la sécurité des infrastructures en déployant des solutions pour éviter la corruption des systèmes critiques ou encore des fuites de données sensibles. »
Autre chantier de taille, la mise en place d’exercices de crise pour challenger les systèmes d’information internes. « L’objectif, c’est de tester, notamment à l’échelle, pour vérifier que des attaquants ne soient pas capables de percer nos défenses. » Même combat pour l’AI Act. « Il est important d’adapter les normes du groupe à la future réglementation. Pour cela, il faut avoir une approche méthodologique de l’évaluation du risque, monitorer les systèmes d’IA pour détecter et anticiper les anomalies, redresser les biais s’il y en a et documenter l’ensemble des systèmes de manière transparente », liste Aldrick Zappellini, directeur Data et CDO Crédit Agricole.
Anticiper pour étaler les coûts
Tous ces chantiers ont un coût. « Chaque année, une partie significative du budget IT – au moins 10 millions d’euros – est dédiée à la mise en conformité des systèmes », confirme Jean-Denis Malpelet, directeur de la conformité d’Allianz France. Malgré la multiplication des dossiers, les acteurs interrogés, bien rodés, abordent la situation avec une certaine sérénité. « De nouvelles réglementations arrivent tous les jours. 2024 ne devrait pas être synonyme de pic de dépenses », tempère le directeur de la conformité d’Allianz France. Pour Aldrick Zappellini, « Le coût à court terme des projets va forcément augmenter. Mais cela ne signifie pas que le coût à long terme va augmenter, au contraire. » En effet, la documentation et l’automatisation des systèmes d’IA permettent au groupe de maîtriser ses outils et de prévoir les difficultés potentielles. « La parfaite connaissance du système d’IA permet, par exemple, de faire face au départ du data scientist à l’origine de la solution. »
L’enjeu est donc d’anticiper pour bien se préparer et étaler les coûts des réformes. « Il faut faire d’une pierre deux coups. On profite d’une refonte d’une partie du système d’information pour incorporer une exigence d’une réglementation à venir », conseille Jean-Denis Malpelet. Allianz France a ainsi commencé à travailler sur DORA il y a deux ans, « notamment sur la partie résilience et gestion de crise. »
Même mantra du côté du Crédit Mutuel Arkea. « L’idée, c’est de développer quelque chose de mature dès le départ pour éviter de devoir dépenser des sommes importantes pour tout remettre aux normes », insiste Maxime Havez, Chief data officer au Crédit Mutuel Arkea. La banque envisage de décrocher la certification LNE (Laboratoire national de métrologie et d’essais) sur les processus de conception d’IA et travaille sur la transparence des données via le SIFR. La banque n’est pas la seule à miser sur les labels pour anticiper l’AI Act. Le DataLab groupe Crédit Agricole a obtenu la certification volontaire LNE et la labélisation « Labelia Avancé » en 2023. « Elles permettent de couvrir une bonne partie des exigences de l’AI act. Quand le texte final sera disponible, il ne nous restera que quelques mises à jour à la marge à réaliser », estime Aldrick Zappellini.
Des interrogations subsistent
« Dora est une réglementation de plus que nous devons anticiper afin d’être en conformité au plus tôt », indique Jean-François Mondou, CTO de la BRED. La plupart des systèmes d’information de la BRED sont déjà conformes aux futures réglementations. Les efforts de mise en conformité du groupe s’articulent majoritairement autour de la gestion des risques des partenaires tiers. Dans le contexte de DORA, la tutelle exige un contrôle renforcé de l’ensemble des fournisseurs IT afin de bien mesurer les risques de la sous-traitance. Une obligation particulièrement difficile à mettre en place. « les banques françaises auront des difficultés à aller auditer une entreprise comme Microsoft », se soucie-t-il. D’autant que la place attend encore quelques précisions de la part du législateur. « La mise en œuvre reste floue. Si nous sommes obligés d’aller tous individuellement auditer nos partenaires et cela, chaque année, cela risque d’engendrer des coûts supplémentaires importants. » Une piste pourrait être de mutualiser les contrôles et de mandater une société indépendante et certifiante pour le faire.
Quelles que soient les difficultés, banques et assurances devront respecter les délais. Car en cas de non-respect des règles, gare aux sanctions. Outre les amendes de plusieurs millions d’euros, le risque majeur vient du marché lui-même. Car qui dit non-conformité des textes, dit détérioration de la note des établissements, emprunts plus forts sur le marché des liquidités, voire perte de l’agrément.
