Publié fin juillet et daté de juin 2020, le rapport Annual report on the outcome of the SREP IT Risk Questionnaire - Feedback to the industry, édition 2019, a été réalisé pour le compte de la Banque centrale européenne dans le cadre de sa mission de supervision bancaire et concerne l'année 2018. Passé inaperçu, ce rapport a été remis en lumière par deux enseignants-chercheurs en informatique belges, Jean-Jacques Quisquater (Université de Louvain) et Charles Cuvelliez (Université de Bruxelles) dans une tribune publiée dans Le Monde. Ce rapport étant alarmiste, il est vrai que nul n'avait vraiment intérêt à se vanter de ses conclusions. Or - faut-il le rappeler ? -, une banque est avant tout un système d'information : le rapport note que le budget informatique des banques représente en moyenne 21% de son budget total (de 7% à 41%). Si le système d'information cesse de fonctionner, toute la banque s'arrête comme le cas de BNP Paribas l'a montré il y a un peu plus d'un an. Si une banque « systémique » (c'est-à-dire ayant une place centrale dans l'économie) s'arrête, c'est le système bancaire entier et donc l'économie qui s'arrêtent ou, du moins, sont sérieusement perturbés.

Quels sont ces fameux risques pointés par ce rapport ? Ils sont de plusieurs ordres. Bien entendu, la cybercriminalité en fait partie (près un tiers des établissements reconnaissent au moins une cyberattaque réussie). Mais le plus intéressant concerne les risques « internes », ceux liés à une défaillance du SI lui-même (pannes, bugs, obsolescences...). Le risque de panne sur un système obsolète peu ou pas maintenable est croissant : il concernait, du propre aveu des établissements concernés, 63% des établissements en 2017 contre 77% en 2018. Le nombre de systèmes critiques concernés est passé dans le même temps d'une moyenne de 0,71 à 1,52, notamment à cause des fusions d'établissements entraînant une accumulation de vieux systèmes. Même si le nombre d'incidents a baissé de 30%, la durée despannes s'est accrue de 32% dans le même temps, 45% des banques ayant dû déclencher à un moment ou un autre leur PCA pour respecter leurs obligations réglementaires de disponibilité.

Une dépendance forte à des fournisseurs médiocres

Si 3% du budget IT bancaire correspond à du recours à du cloud externalisé (public ou infogéré), la moitié des banques concentre au moins la moitié des budgets IT à un seul fournisseur central pour leur IT. De ce point de vue, BNP Paribas, par exemple, dispose toujours de sa co-entreprise avec IBM, BP2I. Or le rapport pointe la mauvaise qualité de la sous-traitance d'une manière générale. Surtout, les banques concernées par une telle concentration ne peuvent évidemment pas changer aisément de fournisseur. La possibilité de couper les liens reste ainsi illusoire, au grand désespoir de la BCE.

Les lourdeurs des DSI bancaires entraînent de multiples conséquences, notamment des développements plus ou moins sauvages dans les directions métiers, assez proches du shadow IT. De tels développements se sont accrus de 24% entre 2017 et 2018, 77% des établissements reconnaissant que des fonctions métiers critiques étaient portées par de tels développements. Bien que les données étudiées datent de 2018 (il faudra attendre l'an prochain pour les données 2019), gageons que les choses ont peu évolué. La crise sanitaire a sans doute, de plus, ralenti les projets en cours.