Les risques liés au système d’information

Les entreprises, et plus particulièrement les établissements financiers, sont exposées à des risques de différentes natures. Les banques et établissements d’assurance s’avèrent particulièrement vulnérables face aux risques de non-conformité, à cause d’un cadre réglementaire de plus en plus contraignant et une concurrence qui s’intensifie toujours. AXIESS accompagne ces structures, comme ce fut le cas d’un établissement de crédit, qui a subi une sanction due à une mauvaise gestion de ses risques. AXIESS l’a alors accompagné dans la mise en place d’une meilleure cartographie des risques afin de prévenir leur impact, tout en tenant compte des impératifs opérationnels de l’entreprise. Étudions ce cas.

L’exemple d’une entreprise exposée à des risques de non-conformité

Il s’agit d’un établissement de crédit établi depuis plusieurs années et disposant d’un responsable de la sécurité des systèmes d’information. Ce RSSI est normalement chargé d’assurer la disponibilité et l’intégrité du système d’information (SI), mais également la sécurité des échanges et des données. C’est à ce niveau que l’entreprise a montré quelques faiblesses, car sa classification des risques s’est avérée peu rigoureuse au regard de la réglementation en vigueur. Elle a donc dû subir des sanctions.

En vue d’améliorer son système de gestion des risques, l’établissement de crédit a décidé de faire appel à AXIESS, pour son expertise reconnue. En effet, la sanction a démontré la nécessité de revoir les classifications des risques afin de mettre en place une méthode de contrôle efficace.

Les risques opérationnels liés au système d’information

Les risques auxquels les entreprises sont confrontées sont habituellement classés en trois catégories :

  • Les risques économiques, qui incluent par exemple les risques de marché ;
  • Les risques juridiques, dont les litiges ;
  • Les risques opérationnels.

Le secteur des banques, du crédit et des assurances est particulièrement sensible aux risques opérationnels. Ces derniers regroupent les différents impacts (pertes)  liés à une défaillance de procédure ou un problème au niveau du personnel, ainsi que les défaillances techniques au niveau du SI et les conséquences d’une non-conformité. L’entreprise de crédit en question a montré des failles au niveau du SI et de la conformité, c’est pourquoi elle a fait appel à AXIESS.

Les risques liés au système d’information touchent différents domaines : l’informatique, la cybersécurité, la télécommunication, l’électricité… Le RSSI est chargé d’établir des seuils SI qui déterminent la gravité de chaque risque identifié. Toutefois, les seuils établis par l’entreprise n’ont pas été assez rigoureux face aux évolutions réglementaires. Autrement dit, l’entreprise a sous-estimé les risques liés au SI dans sa procédure interne de gestion des risques. C’est ce qui a entraîné la sanction. 

AXIESS a donc assisté le RSSI dans la correction du problème grâce aux actions suivantes :

  • Évaluation des risques par le biais d’une nouvelle analyse effectuée à partir d’outils statistiques et une méthode de cotation appropriée ;
  • Mise en place de nouveaux seuils d’alertes SI conformément aux analyses réalisées ;
  • Cartographie des risques ;
  • Établissement d’une méthode de suivi pour contrôler la pertinence des seuils dans la durée.

Avec l’intervention d’AXIESS, l’entreprise et son RSSI ont pu bénéficier d’une méthodologie plus efficace dans la gestion des risques liés au SI.

Les risques de non-conformité et de blanchiment

Les risques de non-conformité font également partie des risques les plus problématiques pour le prestataire de service d’investissement. Cela concerne les exigences réglementaires dictées par les textes législatifs, mais également les conventions collectives du secteur, la déontologie du métier et le règlement interne de l’établissement. Pour les banques et les institutions financières en général, le processus de gestion des risques de non-conformité concerne les aspects suivants :

  • Blanchiment de capitaux ;
  • Lutte contre la corruption ;
  • Financement du terrorisme ;
  • Fraudes internes et externes ;
  • Protection de la clientèle ;
  • Gestion des données personnelles.

Dans notre exemple, l’entreprise de crédit avait surtout besoin de revoir sa classification des risques de blanchiment d’argent. Notons que ce risque est déterminé par plusieurs facteurs : les caractéristiques des clients, la nature des opérations financières effectuées, les conditions de transaction, le pays d’origine ou de destination des fonds et les canaux utilisés. 

Il existe des caractéristiques déterminantes qui impliquent immédiatement un risque élevé, comme les transactions effectuées sans la présence physique du client, ou encore les échanges de gré à gré passés dans un pays hors de l’UE ou dont les obligations sont plus faibles. L’entreprise de crédit a eu des difficulté à évaluer d’autres facteurs jugés moins importants, mais dont le croisement peut induire un risque élevé dans la lutte contre le blanchiment d’argent. 

Dans le cadre du programme de conformité et de contrôle des risques, AXIESS a donc aidé l’entreprise à mettre en place une nouvelle classification. Le projet a été réalisé en tenant compte des nouvelles réglementations et des contraintes opérationnelles propres au fonctionnement de la société. Les procédures internes de contrôle ont été également modifiées pour une meilleure efficacité dans la prévention des risques.

Enfin, les risques liés aux changements climatiques doivent être appréciés au regard de plusieurs critères. L’aléa concernant le risque et sa probabilité de réalisation sont bien évidemment pris en compte par Axiess dans l’audit de gestion effectué. Par ailleurs, la vulnérabilité de l’entreprise doit également être étudiée afin de diminuer au maximum cette dernière. Enfin, l’exposition de la structure doit être au centre de la stratégie mise en place.

Les formations d’AXIESS

Les missions-conseils d’AXIESS comprennent plusieurs  volets : l’audit et l’analyse des risques de non-conformité, la mise en place d’actions correctives, et l’établissement d’un dispositif de contrôle. Par ailleurs, nous proposons des formations à l’intention des dirigeants, des responsables d’entreprise chargés de la gestion des risques et de la conformité (dont les RSSI) et de l’ensemble des collaborateurs concernés par les obligations réglementaires. Nos formations en matière de conformité sont destinées aux entreprises fournissant des services financiers, et portent notamment sur les thématiques suivantes :

  • Le RGPD et la protection des données personnelles en général ;
  • Le DDA et la protection de la clientèle ;
  • La gestion des risques opérationnels ;
  • La mise en conformité réglementaire.

Par une approche personnalisée, nous vous aidons à vous approprier les contraintes réglementaires qui touchent votre activité afin de réduire les risques de non-conformité. La formation proposée en présentiel ou à distance est personnalisée selon les problématiques propres à votre entreprise. Ainsi, qu’il s’agisse de prestataire de services d’investissement, de distributeurs d’assurances ou d’entreprise fournissant des services bancaires classiques, nous assurons une formation réglementaire sur mesure. Dans un souci de proximité, nous restons toujours à l’écoute afin de mettre en place un programme parfaitement adapté à votre situation.