Tour d'horizon des exigences réglementaires SI, portant sur les acteurs financiers de l’UMOA et de la CEMAC

L’état du secteur bancaire d’un pays ou d’une région affecte l’état de son économie. En vue de délivrer leurs services (ouverture de compte, retraits aux DAB, etc.), les banques ne peuvent se passer des systèmes d’information connus dans ce cas comme le SIB (Système d’Information Bancaire). Au contraire, elles s’appuient sur elles pour accroître leurs performances et mieux répondre aux besoins de leurs clients.

Alors qu’il va de soi que l’introduction de nouvelles exigences dans l'Union Monétaire Ouest Africaine (UMOA) et la Communauté Économique et Monétaire de l'Afrique Centrale (CEMAC) impacte la gestion des banques et Etablissement de Crédit, il convient de se poser la question de savoir quelle incidence cela a sur les SI qu’on sait désormais si précieux aux banques ?

C’est la question à laquelle ce papier tentera d’apporter des éléments de réponse.

Au sein de l’UMOA, la convergence de nos systèmes vers les normes internationales (IFRS pour le PCB) et Accords de BALE pour le dispositif prudentiel, a modifié l’aspect règlementaire de notre espace. La Commission Bancaire a donc édicté des circulaires[1] – entrées en vigueur en juillet 2018 - pour servir de modalité d’application à la règlementation bancaire.

On notera par rapport aux précédentes circulaires de 2011, l’introduction des circulaires relatives à la gestion des risques dans les établissements de crédit et compagnies financières et celle relative à la gestion de la conformité aux normes en vigueur par les établissements de crédit et les compagnies financières de l’Union qui étaient compris dans la circulaire relative au contrôle interne.

De manière plus précise, les incidences liées aux systèmes d’information portent essentiellement sur la nécessité de mettre en place un dispositif de gouvernance SI performant. Plus important encore, cette instance devra prendre en compte des aspects de sécurité de l’information et des mécanismes de reprise et de continuité d’activité.

En plus de remplir son rôle premier qui est de permettre à la banque de délivrer ses services, le SIB doit garantir une traçabilité pour toutes les opérations effectuées. Ces systèmes seront également d’une grande aide pour l’institution dans la conception de contrôles automatisés et dans la surveillance de leur efficacité. Pour réaliser cette surveillance, la fonction d’Audit Interne se doit donc d’être dotée de compétences en matière d’infrastructures et de sécurité des systèmes d’information. Le SI bancaire doit aussi permettre à l’établissement de pouvoir apprécier en temps réel la criticité de ses risques et de garantir la fiabilité, la qualité et l’intégrité de ses données.

La banque devrait également tenir compte dans la gestion de son risque opérationnel, des mesures d’atténuation prenant en compte la sécurité physique et logique de ses infrastructures de télécommunication et de son système d’information. Ces mesures permettront de contrôler les pertes opérationnelles pouvant découler de dommages aux actifs physiques ou de d’interruption et défaillances des systèmes.

Au cas où la banque ou l’établissement fait de l’externalisation, elle ne doit pas oublier qu’elle ne peut pas externaliser sa responsabilité en cas de non-conformité. Elle doit pour se faire prendre des mesures pour, préserver la sécurité des informations y compris les données personnelles de sa clientèle. A cet effet, la Commission Bancaire requiert que les serveurs informatiques stockant les données et hébergeant les applications soient stockés au sein de l'Union économique et monétaire ouest-africaine (UEMOA), si cela ne peut être fait, les serveurs secondaires avec l’ensemble des sonnées répliquées doivent être présents au sein de la zone.

Ces exigences s’appliquent pour la plupart aux services financiers numériques (SFN), qui depuis quelques années entendent aussi se faire une place dans l’écosystème financier de la région. En effet, la sécurisation des opérations implique la mise en place d’un dispositif de contrôle interne SI, répondant à un certain nombre de critères. Afin d’accompagner les émetteurs de monnaie électronique (EME), la BCEAO a édicté des règles strictes, à travers l’Instruction n°008-05-2015 régissant les conditions et modalités d'exercice des activités des émetteurs de monnaie électronique dans les Etats membres de l'Union. Celle-ci ont pour vocation de (i) garantir l’authenticité des transactions, (ii) préserver l'intégrité des messages, (iii) assurer la non- répudiation des transactions, (iv) maintenir la confidentialité des informations, (v) assurer une haute disponibilité de la plate-forme.

Du côté de la CEMAC, il est à noter une recrudescence du nombre de cyberattaques. Ces dernières sont de plus en plus sophistiquées, contre les établissements de crédit, de microfinance et de paiement. En réponse, la Commission Bancaire a publié le 21 janvier dernier la CIRCULAIRE LC-COB/04. Celle-ci vise à mettre en œuvre un ensemble d’actions de renforcement du dispositif de maitrise des risques informatiques et de cybersécurité des assujettis. Nous pouvons citer parmi elles :

• La conduite par des experts indépendant d’un audit de sécurité SI au plus tard le 30 juin 2022 ;
• La formalisation et la mise à jour des cartographies des risques, notemment ceux liés à la sécurité du SI ;
• La formalisation des politiques de sécurité du SI, dans le respect des meilleures pratiques, normes et standard (ISO 2700X, PCI DSS, etc.) ;
• La formalisation, la mise à jour et le test régulier du dispositif de continuité d’activité.

Considérant la proximité de la date d’entrée en vigueur de cette circulaire, il est impératif que les établissements visés s’informent et prennent les mesures idoines pour se conformer à la règlementation bancaire.

En conclusion, nous pouvons - avec le maintien de cette dynamique d’évolution du cadre réglementaire, et une mise en œuvre convenable des mesures édictées – présager d’un renforcement dans le temps du dispositif de contrôle interne de ces assujettis. Celui-ci serait porté par (i) la sécurité des données (confidentialité, intégrité et disponibilité) ; (ii) la continuité des activités ; (iii) la fiabilité des informations ; et (iv) la traçabilité des transactions.

Les institutions financières qui se montreront avant-gardistes, sans attendre quelconque exigence du régulateur se verront toutefois dans un meilleur confort. En effet, nombreuses sont les bonnes pratiques déjà éprouvées, mais aussi les leçons apprises méritant d’être capitalisée pour plus de résilience.