L'état du secteur bancaire d'un pays affecte l'état de son économie. Afin de fournir des services (ouverture de compte, retraits aux guichets automatiques, etc.), les banques ne peuvent se passer d'un système d'information, en l'occurrence appelé SIB (Bank Information System). Au lieu de cela, ils comptent sur eux pour améliorer les performances et mieux répondre aux besoins des clients.
Il ne fait aucun doute que l'introduction de nouvelles exigences par l'Union monétaire ouest-africaine (UMOA) et la Communauté économique et monétaire de l'Afrique centrale (CEMAC) affectera la gestion des banques et des établissements de crédit, mais il convient de se poser les questions suivantes : quel est l'impact du SI sur ce que nous savons aujourd'hui être si précieux pour les banques ? Quel effet ?
C'est la question à laquelle cet article tentera d'apporter quelques réponses.
Au sein de l'UMOA, la convergence de nos systèmes vers les normes internationales (IFRS pour le PCB) et Bâle pour les systèmes prudentiels a modifié l'aspect réglementaire de notre espace. Ainsi, la Commission bancaire a émis une circulaire - entrée en vigueur en juillet 2018 - comme modèle d'application de la supervision bancaire.
Il est à noter que, par rapport aux précédentes circulaires de 2011, des circulaires relatives à la gestion des risques des établissements de crédit et des entreprises financières ont été introduites, ainsi que des circulaires relatives à la gestion du respect des normes mises en place par les établissements de crédit et les entreprises financières. Inclus dans la Circulaire de Contrôle Interne.
Plus précisément, les implications liées aux systèmes d'information sont intrinsèquement liées à la nécessité de mettre en place une gouvernance efficace des SI.
Plus important encore, l'agence doit tenir compte de tous les aspects de la sécurité des informations et des mécanismes de récupération et de continuité des activités.
En plus de remplir son rôle premier de permettre aux banques de fournir des services, les SIB doivent également garantir la traçabilité de toutes les opérations effectuées. Ces systèmes seront également d'une grande aide pour les agences dans la conception de contrôles automatisés et le suivi de leur efficacité. Ainsi, pour exercer ce contrôle, la fonction d'audit interne doit disposer de compétences en matière de sécurité des infrastructures et des systèmes d'information. Le SI bancaire doit également permettre aux établissements d'évaluer en temps réel la gravité de leurs risques et de garantir la fiabilité, la qualité et l'intégrité de leurs données.
Les banques devraient également tenir compte des mesures d'atténuation dans leur gestion des risques opérationnels, en tenant compte de la sécurité physiques et logiques de son infrastructure de télécommunications et de ses systèmes d'information. Ces mesures limiteront les pertes opérationnelles pouvant résulter de dommages aux actifs physiques ou de pannes et de défaillances du système.
Ces mesures limiteront les pertes opérationnelles pouvant résulter de dommages aux actifs physiques ou de pannes et de défaillances du système.
Si une banque ou une institution externalise, elle ne doit pas oublier qu'elle ne peut pas externaliser ses propres responsabilités en cas de non-conformité. Il doit prendre des mesures pour protéger la sécurité des informations, y compris les données personnelles de ses clients. À cette fin, la Commission bancaire exige que les serveurs informatiques stockant les données et hébergeant les applications soient stockés au sein de l'Union économique et monétaire ouest-africaine (UEMOA), et lorsque cela n'est pas possible, un serveur secondaire avec toutes les données répliquées doit être présent dans la région.
Ces exigences s'appliquent principalement aux services financiers numériques (SFD), qui tentent également de s'implanter dans l'écosystème financier de la région ces dernières années. En pratique, la sécurité opérationnelle implique la mise en place d'un système de contrôle interne du SI répondant à un certain nombre de critères. Pour soutenir les émetteurs de monnaie électronique (EME), la BCEAO a établi des règles strictes régissant les conditions et procédures des activités des émetteurs de monnaie électronique dans les pays membres à travers la directive n° 008-05-2015 Union. Ceux-ci sont conçus pour garantir l'authenticité des transactions, maintenir l'intégrité des messages, assurer la non-répudiation des transactions, maintenir la confidentialité des informations, et assurer une haute disponibilité plateforme.
En ce qui concerne la CEMAC, il convient de noter une augmentation du nombre de cyberattaques. Ces derniers sont de plus en plus complexes, à l'encontre des établissements de crédit, de microfinance et de paiement. En réponse, la Commission bancaire a publié le 21 janvier la circulaire LC-COB/04. Celle-ci vise à mettre en œuvre une série d'actions visant à renforcer les dispositifs de maîtrise des risques informatiques et de cybersécurité des entités déclarantes. Nous pouvons citer parmi elles :
- - Un audit de sécurité du système d'information par un expert indépendant au plus tard le 30 juin 2022 ;
- - Formalisation et mise à jour des cartographies des risques, notamment ceux liés à la sécurité du SI ;
- - Formalisation des politiques de sécurité du SI dans le respect des bonnes pratiques, normes et standards (ISO 2700X, PCI DSS, etc.) ;
- - Formalisation, mise à jour et tests réguliers des systèmes de continuité d'activité.
Considérant que la date d'entrée en vigueur de cet avis approche, les institutions concernées doivent comprendre la situation par elles-mêmes et prendre les mesures appropriées pour se conformer à la réglementation bancaire.
En conclusion, nous pouvons - avec cette évolution dynamique du cadre réglementaire et la mise en œuvre appropriée des mesures édictées - prévoir que les systèmes de contrôle interne de ces entités déclarantes se renforceront au fil du temps. Cela sera motivé par la sécurité des données (confidentialité, intégrité et disponibilité), la continuité des activités, la fiabilité des informations et la traçabilité des transactions.
Cependant, les institutions financières qui se comportaient de manière agressive sans attendre que les régulateurs fassent la moindre demande se trouveraient dans une meilleure position. En effet, de nombreuses bonnes pratiques ont déjà fait leurs preuves, mais il existe également des leçons à tirer pour améliorer la résilience.
Découvrez aussi: