Intervention de Denis Beau

L'évaluation et l'amélioration de la capacité du système financier à résister aux chocs et à ne pas les transmettre à l'économie réelle constituent des préoccupations importantes pour la Banque de France et l'Autorité de contrôle prudentiel et de résolution (ACPR). L'une et l'autre ont en effet reçu pour mandat de veiller à la stabilité du système financier.

À la lumière de ce mandat, je voudrais vous présenter les enseignements que nous tirons de la crise sanitaire vécue par la France, qu'il s'agisse de la résilience financière et opérationnelle du système financier ou des actions que nous menons en faveur du développement des dispositifs de prévention et de gestion qui peuvent fortement affecter cette résilience.

J'évoquerai tout d'abord les leçons qui me semblent pouvoir être tirées en matière de résilience financière de la crise qui nous a frappés en 2020.

Alors qu'en 2008, les banques étaient à l'origine de la crise et ont représenté un vecteur de diffusion et d'amplification de cette crise à travers le système financier et l'économie réelle, elles ont constitué en 2020 un facteur de résistance du système financier à un choc exogène d'une ampleur inédite. Elles ont également été un relais des mesures très fortes prises par les autorités publiques, le Gouvernement et la Banque centrale européenne pour protéger les ménages et les entreprises et relancer l'activité.

Cette capacité des banques à financer l'économie dans l'adversité est le résultat de leur résilience financière accrue. Les réformes du cadre réglementaire qui ont suivi la crise de 2008 ont en effet rendu le système financier plus résistant aux chocs, en conduisant notamment les établissements bancaires à doubler leur niveau de fonds propres.

Pour autant, il est important que cette résilience financière soit entretenue et consolidée. C'est dans cette perspective que le haut conseil de stabilité financière (HSCF) a émis des recommandations sur les conditions d'octroi des prêts immobiliers. Ces recommandations ont récemment été transformées en normes, qui protègent ainsi les ménages d'un endettement excessif. De plus, depuis 2018, ce haut conseil a décidé de limiter le niveau d'exposition des principales banques françaises aux entreprises caractérisées par un fort endettement.

Il est également important que cette consolidation puisse s'appuyer, concernant les banques, sur la mise en œuvre de l'accord Bâle III de décembre 2017 et, s'agissant des acteurs non bancaires, sur une révision de l'encadrement réglementaire du risque de liquidité dans les fonds monétaires et plus largement dans les fonds ouverts.

Le covid-19 a aussi mis à l'épreuve, à travers les nouvelles modalités de travail à distance, les capacités de résilience opérationnelle du secteur financier aux niveaux individuel et collectif, notamment face aux risques cyber. Il s'agit ici de la continuité opérationnelle des fonctions critiques, crédits, opérations de marché ou paiements. Nous n'avons pas eu à déplorer d'incident majeur en la matière. Pour autant, il est nécessaire de continuer à améliorer le niveau de résilience opérationnelle des services financiers et de ces nouvelles modalités de travail. Cette démarche s'articule autour de deux axes, l'un lié à la prévention et l'autre à la gestion des crises.

Notre contribution à la prévention des crises s'appuie sur plusieurs dispositifs, tant micro que macroprudentiels.

Au niveau microprudentiel, le cadre réglementaire du risque opérationnel a été considérablement renforcé ces derniers mois, notamment à travers de nouvelles exigences sur la gestion du risque informatique et des externalisations, ceci pour améliorer la capacité des institutions financières à maintenir leurs activités essentielles en cas d'incident grave. Des modifications réglementaires ont ainsi été apportées au cadre national cette année, en particulier dans le secteur bancaire avec la mise à jour de l'arrêté du 3 novembre 2014.

Afin de mettre l'accent sur les problématiques de gouvernance du risque, de sécurisation des systèmes d'information et de continuité d'activité, l'ACPR a en outre publié des notices sectorielles – secteur banque et secteur assurance – au mois de juillet, qui lui permettent de mettre en exergue les points de vigilance principaux que doivent prendre en compte les institutions financières qu'elle supervise. Ainsi, elle rappelle qu'une bonne gouvernance du risque informatique suppose une forte implication des instances dirigeantes, y compris du conseil d'administration, et une organisation du contrôle interne reposant sur une vraie indépendance des équipes de contrôle par rapport aux équipes opérationnelles.

En matière de sécurité des systèmes d'information, l'ACPR encourage le recours à des dispositifs de cybersécurité qui doivent être désormais considérés comme une base qui s'impose à tous et non plus comme une option concernant uniquement les grandes institutions financières. Par exemple, il convient de procéder à une mise à jour régulière des configurations de sécurité, de chiffrement des données ou encore de segmentation des réseaux. Une telle approche est particulièrement nécessaire dans un contexte marqué par un recours massif au télétravail qui se pérennise et qui induit une augmentation de la surface d'exposition des entreprises, souvent sans cybersécurité adaptée.

Sur un plan plus pratique, l'ACPR disposait déjà d'outils de supervision, tels que le recours à des tests d'intrusion dans le cadre des contrôles sur place. Pour autant, les dernières modifications réglementaires ont introduit d'autres outils, comme l'accès à un registre centralisé des contrats d'externalisation des institutions financières.

Les règles édictées au niveau national sont en cours d'harmonisation au niveau européen pour l'ensemble des entreprises du secteur financier à travers la préparation du futur règlement Digital Operational Resilience Act (DORA) sur la résilience opérationnelle numérique. Ce texte nous paraît important et bienvenu. En particulier, ce cadre obligera les établissements à effectuer régulièrement des tests de sécurité tandis que les autorités financières disposeront d'un nouveau forum européen leur permettant de surveiller directement les prestataires informatiques les plus critiques, comme les fournisseurs de services de cloud.

Au niveau macroprudentiel, pour prévenir les crises, la Banque de France a développé un diagnostic sur les vulnérabilités et la résilience du système financier dans son ensemble. Ce diagnostic est publié tous les semestres et constitue une base importante pour les discussions et les décisions du HCSF. La dernière édition, parue en juin dernier, souligne ainsi la vulnérabilité accrue aux risques cyber et la nécessité d'actions de prévention en la matière.

La Banque de France met également en œuvre une approche très concrète de la prévention des crises opérationnelles. Elle coordonne ainsi des travaux de la place via le groupe de place robustesse (GPR) qu'elle préside et elle effectue des exercices de simulation des crises systémiques.

Le GPR est composé des principaux groupes bancaires et infrastructures de marché de la place, ainsi que des autorités financières et des services de l'État. Il établit des scénarios de crise en s'appuyant notamment sur les analyses issues d'un observatoire des menaces (ODM). Les scénarios en question sont ancrés dans le réel : cyberattaque, catastrophe naturelle, défaillance d'un prestataire critique ou encore pandémie. Sur cette base, le GPR organise régulièrement des exercices de simulation, les derniers en date portant sur une cyberattaque et ses conséquences (2019 et 2021) et la survenue d'une crue majeure en Île-de-France (2016).

L'entretien et l'amélioration des capacités de gestion des crises appellent néanmoins un renforcement des tests et de la coordination internationale. Le dispositif de gestion de crise pour le système financier bénéficie déjà d'une coordination européenne forte. C'est l'eurosystème qui est en charge des décisions relatives à la politique monétaire et aux apports en liquidité, en temps normal comme en temps de crise. En outre, il fournit et opère les infrastructures critiques pour ce qui a trait aux paiements de montants importants (Target 2) ou au règlement-livraison de titres (T2S). En tant qu'opérateur, l'eurosystème veille à la résilience opérationnelle de ces infrastructures et effectue régulièrement des tests à cette fin.

Cette coordination européenne vaut également pour la supervision des risques opérationnels des plus grandes banques de l'union bancaire et, par conséquent, des principaux groupes bancaires français, supervisés par le mécanisme de supervision unique (MSU). Ce cadre de supervision est appliqué selon les mêmes principes pour tous. Tous ces établissements ont ainsi pour obligation d'informer le MSU des incidents informatiques graves qui les affectent. À l'avenir, le réglement DORA incitera également les autorités financières européennes à développer un mécanisme d'échange d'informations et de gestion des cybercrises à dimension systémique. Toutefois, la très grande interconnexion des différentes places financières au niveau international requiert une approche harmonisée du renforcement de la résilience collective.

À l'initiative de la Banque de France, un exercice cyber impliquant vingt-quatre autorités financières et des acteurs privés a été organisé lors de la présidence française du G7 en 2019, pour tester leur capacité de coordination et assurer une reprise coordonnée des services financiers. Un nouvel exercice de même ampleur, pour lequel nous militons, est envisagé en 2024, des exercices plus ciblés ayant été effectués ou étant prévus en 2020, 2021 et 2022.