Sommaire : Ce rapport du Comité de Bâle analyse les stratégies mondiales de gestion des risques liés aux technologies de l'information et de la communication (TIC) dans le secteur financier. Il se concentre spécifiquement sur la prévention et l'atténuation des incidents non malveillants, tels que les erreurs de configuration, les défaillances systémiques ou les interruptions chez des prestataires tiers. L'étude s'appuie sur une enquête menée auprès de 16 juridictions pour identifier les causes profondes des pannes et répertorier les meilleures pratiques de résilience opérationnelle. Le document détaille l'importance cruciale de la gouvernance, de la gestion automatisée des changements et de la surveillance rigoureuse des fournisseurs externes. Enfin, il souligne les défis persistants liés à la pénurie de talents technologiques et à la complexité croissante des systèmes informatiques hérités.

En juin 2026, le Comité de Bâle sur le contrôle bancaire (BCBS) a publié un rapport de référence intitulé « Information and communication technology (ICT) risk management: range of practices ». Ce document examine les dispositifs mondiaux visant à renforcer la résilience opérationnelle des institutions financières face à la recrudescence et à l'impact des incidents liés aux technologies de l'information et de la communication (TIC).

1. Introduction et Contexte du Rapport

L'objectif central du rapport est d'analyser les pratiques de gestion des risques TIC pour garantir la continuité des opérations critiques. Le Comité établit une distinction fondamentale entre la cyberrésilience - traitée dans des travaux antérieurs et axée sur les incidents malveillants - et le présent rapport, qui se concentre exclusivement sur les incidents TIC non malicieux (défaillances techniques, erreurs humaines, ruptures opérationnelles).

L'analyse synthétise les données provenant de 16 juridictions mondiales, couvrant un échantillon représentatif de banques d'importance systémique mondiale (G-SIB), domestique (D-SIB) et d'institutions exclusivement numériques.

2. Analyse des Incidents TIC : Typologie et Causes Racines

L'observation des incidents entre 2022 et 2024 révèle des tendances disparates : certaines juridictions rapportent une hausse des événements, tandis que d'autres notent un déclin entre 2023 et 2024, souvent corrélé à l'évolution des seuils de déclaration réglementaire.

En s'appuyant sur la taxonomie FIRE (Format for Incident Reporting Exchange) développée par le Conseil de stabilité financière (FSB), le rapport identifie quatre causes racines critiques :

• Lacunes dans le contrôle des changements (Change control gaps) : Modifications de l'environnement ou des configurations effectuées sans autorisation, revue ou rigueur appropriée.
• Défauts de conception, de développement et de test des systèmes : Exigences mal définies ou tests irréguliers compromettant la fiabilité du logiciel.
• Problèmes de capacité et de performance des systèmes : Incapacité à absorber les pics de charge ou à traiter les tâches dans les paramètres acceptables.
• Défaillances opérationnelles des dépendances externes : Rupture de service chez un tiers impactant la banque par effet domino.

Le rapport souligne la sévérité de ces incidents à travers des études de cas probantes : un échec de migration de système a provoqué une interruption multi-canaux affectant 10 % de la population dans une juridiction, tandis qu'une autre a vu ses opérations critiques indisponibles pendant plusieurs jours.

3. Gouvernance et Stratégie de Gestion des Risques

La gestion des risques TIC est désormais intégrée au cadre global des risques opérationnels, s'appuyant généralement sur le modèle des « trois lignes de défense » (PSMOR). Un indicateur de maturité fort ressort de l'étude : 14 des 16 juridictions interrogées indiquent que leurs banques ont établi un appétit ou une tolérance spécifique aux risques TIC.

Le pilotage s'appuie sur des indicateurs clés (KPI/KRI) rigoureux :

• Taux de disponibilité des systèmes et temps moyen de résolution.
• Stabilité liée aux changements (% de changements provoquant un incident).
• Niveau d'obsolescence (% d'actifs en fin de vie [End-of-life]).
• Adhésion aux SLA des fournisseurs tiers via des tableaux de bord de performance.

L'adossement à des cadres internationaux (COBIT, NIST, ISO 2700x, ITIL) demeure la norme pour structurer les processus de gouvernance.

4. Gestion du Changement et Maîtrise de la Complexité

Pour gérer des volumes massifs (certaines G-SIB traitent plus de 5 millions de changements par an), les banques privilégient l'approche des « micro-changes » (modifications fréquentes et de faible envergure) plutôt que les déploiements massifs de type « big bang ». Les techniques de déploiement progressif visent à limiter le « rayon d'impact » (blast radius) :

• Canary releases : Déploiement initial auprès d'un groupe restreint d'utilisateurs.
• Blue-green deployments : Utilisation de deux environnements de production identiques pour basculer sans interruption.
• Shadow traffic testing : Test d'une version en parallèle via une copie du trafic réel, sans impact utilisateur.
• Feature flags : Activation/désactivation de fonctionnalités au niveau du code en temps réel.

En cas d'anomalie, la stratégie alterne entre le « Rollback » (retour arrière) et le « Roll-forward » (correction successive en production lorsque le retour arrière est techniquement impossible). L'automatisation des changements standard atteint jusqu'à 85 % dans certaines institutions, bien que les changements critiques conservent des « portes de contrôle » manuelles strictes.

5. Gestion des Actifs et Résilience Opérationnelle

La maîtrise de l'inventaire via les CMDB (Configuration Management Databases) est cruciale pour lutter contre le Shadow IT. Pour gérer la dette technologique, les banques adoptent une approche modulaire et par couches (modular and layered approach), permettant de découpler les systèmes monolithiques hérités pour remplacer les composants obsolètes sans déstabiliser l'ensemble.

La haute disponibilité repose sur des architectures robustes :

• Configuration Active-Active : Fonctionnement simultané des serveurs avec partage de charge.
• Configuration Active-Passive : Serveur de secours prêt à prendre le relais.
• Clustering et Virtualisation : Redondance système pour pallier les défaillances matérielles.

La protection des données est renforcée par des sauvegardes immuables et l'usage croissant de coffres-forts sécurisés (secure vaults). On observe par ailleurs une transition vers un monitoring en temps réel assisté par l'IA pour la détection proactive d'anomalies.

6. Gestion des Risques liés aux Tiers (TPRM)

La dépendance envers les prestataires externes nécessite une visibilité accrue sur la chaîne d'approvisionnement, notamment les relations de rang « n » (nth-party).

Le rapport met en avant des mécanismes de contrôle sophistiqués :

• Software Bill of Materials (SBOM) : Exigence de transparence sur la composition des logiciels tiers pour améliorer la gestion des vulnérabilités.
• Audits mutualisés (Pooled audits) : Pratique visant à accroître l'efficacité des contrôles chez les fournisseurs de services partagés.
• Droits de substitution (Step-in rights) : Clause contractuelle permettant à la banque de désigner un tiers pour reprendre les services en cas de défaillance du fournisseur initial.
• Portabilité et stratégies de sortie : Plans de transition pour garantir la continuité en cas de rupture contractuelle.

7. Cadre de Supervision et Exigences Réglementaires

Les autorités adoptent une supervision basée sur le risque, mêlant inspections sur site et revues thématiques. Les banques sont généralement soumises à un processus de déclaration en trois étapes : rapport initial, intérimaire et final.

Selon le document, les critères de déclaration d'incidents les plus fréquents sont :

1. Sévérité de l'incident (100 % des juridictions).
2. Durée de l'interruption.
3. Criticité des systèmes affectés.
4. Perte de données ou fuite d'informations sensibles.

Les régulateurs imposent des tests de continuité (BCP/DRP) basés sur des scénarios de pannes extrêmes mais plausibles, incluant l'indisponibilité totale d'un fournisseur majeur.

8. Défis Émergents : Talents, IA et Open Source

La pénurie de talents est particulièrement aiguë concernant les compétences héritées, notamment la programmation COBOL et l'administration de Mainframes, ainsi que les domaines de pointe (IA/ML, Cloud). Les banques y répondent par des parcours de carrière techniques internes et des partenariats académiques.

L'adoption de l'Open Source est valorisée pour sa transparence et son "explicabilité" par rapport aux logiciels propriétaires. Toutefois, cela exige une gouvernance stricte, incluant des revues de code source approfondies et des vérifications de fiabilité des communautés de contributeurs.

En conclusion, si l'automatisation et l'IA sont des leviers majeurs de résilience, le Comité insiste sur le maintien d'une supervision humaine adéquate, garante de la responsabilité et du jugement lors de crises systémiques complexes.