Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Pourquoi la gestion des risques informatiques est désormais une priorité au niveau du conseil d’administration pour les banques britanniques

Pourquoi la gestion des risques informatiques est désormais une priorité au niveau du conseil d’administration pour les banques britanniques

par Danielle Barbour updated avril 10, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 10 minutes

Les banques britanniques évoluent dans un environnement opérationnel où les défaillances des technologies de l’information et des communications, les cyberattaques et la dépendance à des tiers peuvent entraîner une perturbation systémique, un contrôle réglementaire et une atteinte à la réputation en quelques heures. La gestion des risques liés aux TIC n’est plus une simple fonction technique supervisée par les équipes IT : elle relève désormais de la gouvernance au niveau du conseil d’administration, impactant directement les décisions stratégiques, la conformité des données et la résilience institutionnelle.

Cette évolution reflète les attentes des régulateurs, qui exigent que les conseils comprennent, questionnent et supervisent la propagation des risques technologiques au sein de l’établissement, en particulier lorsque des services critiques reposent sur des fournisseurs cloud, des éditeurs de logiciels ou des opérateurs d’infrastructures de paiement. Les administrateurs doivent désormais avoir une visibilité sur les capacités de reprise, les contrôles de protection des données et la préparation à la gestion des incidents, avec la même rigueur que pour le risque de crédit ou la solidité financière.

Cet article explique pourquoi la gestion des risques TIC doit être une priorité au niveau du conseil d’administration dans la banque britannique, quels sont les facteurs réglementaires et opérationnels qui imposent cette priorité, et comment les établissements financiers peuvent mettre en place des structures de gouvernance permettant de traduire les risques techniques en supervision stratégique.

Résumé Exécutif

L’implication du conseil d’administration dans la gestion des risques TIC est désormais une exigence réglementaire et une nécessité opérationnelle pour les banques britanniques. Les administrateurs doivent comprendre l’impact des dépendances technologiques sur les fonctions critiques, challenger la direction sur la cyberrésilience et les contrôles des tiers, et veiller à ce que les plans de réponse aux incidents soient alignés sur les objectifs de reprise. Ce changement de gouvernance reflète les attentes réglementaires en matière de responsabilité des dirigeants, l’impact systémique des défaillances technologiques et le risque de concentration inhérent à la dépendance à un nombre restreint de prestataires critiques. Une supervision efficace du conseil nécessite un reporting structuré sur l’appétence au risque TIC, les résultats des tests de reprise, l’assurance des tiers et la protection des données sensibles, le tout soutenu par une expertise technique et des indicateurs opérationnels permettant un challenge éclairé et des décisions stratégiques.

Points Clés à Retenir

  1. Responsabilité du conseil d’administration indispensable. Les conseils d’administration des banques britanniques doivent assumer directement la gouvernance des risques TIC, comprendre les dépendances technologiques et garantir la conformité réglementaire via une supervision stratégique.
  2. Impact systémique des défaillances technologiques. Les perturbations technologiques dans la banque peuvent avoir un effet domino, affectant des opérations critiques comme les paiements et la sécurité des données. Les conseils doivent donc prioriser la cyberrésilience et les capacités de reprise.
  3. Risques de concentration liés aux tiers. La dépendance à quelques prestataires clés pour les services cloud et de paiement introduit des risques systémiques, ce qui impose au conseil de surveiller la diversification, la diligence raisonnable et les contrôles de protection des données.
  4. Protection des données comme priorité. Les conseils doivent garantir un chiffrement robuste et des contrôles d’accès pour les données sensibles, tant en interne qu’avec les tiers, avec des journaux d’audit infalsifiables pour répondre aux exigences réglementaires.

Attentes réglementaires en matière de responsabilité du conseil sur les risques TIC

Les régulateurs financiers britanniques exigent désormais que les conseils d’administration démontrent leur responsabilité directe dans la gouvernance des risques TIC, au-delà d’une simple délégation aux comités IT ou risques. Cette exigence découle du constat que la technologie sous-tend chaque fonction bancaire critique, du traitement des paiements à l’authentification client, en passant par la gestion de la liquidité et le reporting réglementaire.

Les administrateurs doivent comprendre les dépendances de l’établissement à certaines plateformes technologiques, services cloud et fournisseurs tiers, et évaluer si ces dépendances génèrent un risque de concentration, une fragilité opérationnelle ou des vulnérabilités en matière de protection des données. Les cadres réglementaires imposent au conseil de définir l’appétence au risque TIC, d’approuver les plans de continuité d’activité et de reprise après sinistre, et de recevoir des reportings réguliers sur les cyberincidents, la gestion des vulnérabilités et les résultats des tests de reprise.

Cette responsabilité ne peut être externalisée. Les régulateurs attendent des administrateurs qu’ils challengent la direction sur la plausibilité des objectifs de reprise, la robustesse des systèmes de sauvegarde et la complétude des évaluations de gestion des risques tiers (TPRM). En cas d’incident TIC, le conseil doit prouver qu’il a exercé une diligence raisonnable, posé les bonnes questions et veillé à ce que les contrôles soient proportionnés aux risques identifiés.

Ce que le conseil doit superviser en matière de gouvernance des risques TIC

Une supervision efficace du conseil repose sur un reporting structuré couvrant plusieurs domaines opérationnels. Les administrateurs doivent avoir une visibilité sur la classification des fonctions critiques, les systèmes technologiques et services tiers qui les soutiennent, et les capacités de reprise en cas de défaillance.

Ils doivent recevoir des reportings sur la fréquence et la gravité des cyberincidents, l’efficacité des capacités de détection et de réponse, et la pertinence des tests des plans de réponse aux incidents face à des scénarios réalistes. Le conseil doit comprendre l’exposition de l’établissement aux attaques par ransomware, DDoS et compromissions de la supply chain, et évaluer si les contrôles de sécurité réduisent la probabilité et l’impact de ces menaces.

La gestion des risques tiers requiert l’attention du conseil, car l’externalisation de fonctions critiques ne transfère pas la responsabilité réglementaire. Les administrateurs doivent challenger la direction sur la diligence raisonnable vis-à-vis des fournisseurs cloud, processeurs de paiement et éditeurs de plateformes bancaires, y compris les droits d’audit, les stratégies de sortie et les clauses contractuelles de protection des données et de notification des incidents.

Impact systémique des défaillances technologiques sur les opérations bancaires

Les défaillances technologiques dans la banque ne restent jamais isolées. Une interruption du traitement des paiements affecte l’accès des clients à leurs fonds, la gestion de la liquidité et le règlement interbancaire. Une fuite de données compromet la confidentialité des clients, déclenche une enquête réglementaire et nuit à la réputation de l’établissement. Une attaque par ransomware peut paralyser des systèmes critiques, retarder le reporting réglementaire et forcer le recours à des processus manuels générateurs d’erreurs opérationnelles.

La dimension systémique de ces défaillances impose au conseil de ne pas considérer le risque TIC comme un simple problème technique. Lorsqu’un fournisseur cloud subit une panne, plusieurs banques clientes peuvent perdre simultanément l’accès à leurs applications. Lorsqu’une vulnérabilité logicielle est révélée sur une plateforme largement utilisée, les établissements doivent évaluer leur exposition, prioriser les correctifs et vérifier si les mesures de mitigation n’introduisent pas de nouveaux risques.

Le conseil doit comprendre la rapidité avec laquelle l’établissement détecte les anomalies, isole les systèmes compromis et restaure les fonctions critiques. Le délai moyen de détection et de remédiation sont des indicateurs opérationnels qui révèlent si les opérations de sécurité identifient les menaces avant qu’elles ne s’aggravent et si les équipes de réponse aux incidents peuvent exécuter les plans de reprise sous pression.

Risque de concentration lié aux dépendances tiers et cloud

Les banques britanniques s’appuient de plus en plus sur un nombre restreint de fournisseurs cloud, d’opérateurs d’infrastructures de paiement et d’éditeurs de logiciels pour assurer des fonctions critiques. Cette concentration crée un risque systémique, car la défaillance d’un seul prestataire peut perturber plusieurs établissements en même temps, saturer les ressources de réponse aux incidents et compliquer la coordination avec les régulateurs.

Le conseil doit évaluer la diversification des dépendances tiers, la capacité à recourir à des prestataires alternatifs ou à des systèmes de secours pour maintenir les fonctions critiques, et la solidité des contrats (droits d’audit, mécanismes de sortie, garanties de niveau de service). La diligence raisonnable sur les tiers inclut l’évaluation de leur propre gestion des risques TIC, de leur cyberrésilience et de leurs contrôles de protection des données.

Le risque de concentration impacte aussi la protection des données. Lorsque des données sensibles de clients, des historiques de transactions ou des rapports réglementaires sont traités ou stockés par des tiers, le conseil doit veiller à ce que des contrôles adaptés imposent les meilleures pratiques de chiffrement, des restrictions d’accès et des journaux d’audit sur tous les environnements. En cas de fuite chez un tiers, l’établissement reste responsable devant les régulateurs et ses clients.

Cyberrésilience et capacités de reprise sous la surveillance du conseil

La cyberrésilience désigne la capacité de l’établissement à prévenir, détecter, répondre et se remettre d’incidents cyber. Le conseil doit superviser l’adéquation de la posture de résilience avec l’appétence au risque, la pertinence des tests de reprise face à des scénarios réalistes, et l’intégration des enseignements tirés dans les plans opérationnels.

Les objectifs de temps et de point de reprise définissent la rapidité de restauration des fonctions critiques et le volume de perte de données acceptable. Le conseil doit challenger la faisabilité de ces objectifs au regard des systèmes de sauvegarde, des infrastructures redondantes et des ressources de réponse aux incidents. Les simulations et exercices de reprise constituent des preuves que les plans sont exécutables sous contrainte.

La préparation à la réponse aux incidents implique une coordination entre opérations IT, équipes de sécurité, juridique, conformité, communication et direction générale. Le conseil doit s’assurer que les plans de réponse définissent les rôles, seuils d’escalade, protocoles de communication et pouvoirs de décision, et qu’ils sont régulièrement testés.

Reporting au conseil sur les cyberincidents et la gestion des vulnérabilités

Le conseil doit recevoir un reporting précis et en temps réel sur les cyberincidents : nature de l’attaque, systèmes touchés, données compromises, efficacité de la détection et de la neutralisation, état d’avancement de la reprise. Le reporting doit distinguer les événements mineurs des incidents majeurs nécessitant une notification du conseil, une déclaration réglementaire ou une communication client.

Le reporting sur la gestion des vulnérabilités doit informer le conseil de l’exposition de l’établissement aux failles logicielles connues, du temps nécessaire pour corriger les systèmes critiques, et de l’existence de risques non traités sur les systèmes obsolètes. Le conseil doit s’assurer que l’inventaire des actifs technologiques est à jour, que les vulnérabilités sont classées par gravité et que la remédiation est priorisée selon le risque.

Les centres d’opérations de sécurité génèrent d’importantes quantités de données, mais le conseil a besoin d’aperçus synthétiques pour décider. Des indicateurs comme le nombre de vulnérabilités critiques non corrigées dans les délais, le pourcentage de systèmes à jour et la fréquence des tentatives de phishing réussies sont des signaux exploitables sur la posture de sécurité de l’établissement.

Protection des données et gouvernance des tiers : des impératifs pour le conseil

La protection des données sensibles est une exigence réglementaire et une question de confiance client qui exige la supervision du conseil. Les banques britanniques traitent des informations financières personnelles, historiques de transactions, évaluations de crédit et communications professionnelles confidentielles, qui doivent toutes être protégées de bout en bout, en interne comme à l’externe. Le conseil doit veiller à l’application du chiffrement AES-256 pour les données au repos et TLS 1.3 pour les données en transit comme standards de base, et à la cohérence de ces protocoles sur tous les systèmes internes et environnements tiers.

Le conseil doit s’assurer que l’établissement met en œuvre des contrôles adaptés à la sensibilité et à la classification des données : chiffrement, contrôles d’accès, journaux d’audit. Les technologies de prévention des pertes de données (DLP), les plateformes de gestion des identités et des accès (IAM) et les solutions de transfert sécurisé de fichiers constituent une défense en profondeur, mais le conseil doit s’assurer que ces outils sont correctement paramétrés, surveillés en continu et intégrés aux workflows de réponse aux incidents.

Lorsque les banques britanniques partagent des données sensibles avec des prestataires tiers, le conseil doit garantir que les obligations contractuelles, les contrôles techniques et les droits d’audit suffisent à protéger ces données. Les évaluations de risques tiers doivent vérifier que les prestataires appliquent des mesures équivalentes en matière de chiffrement, de contrôles d’accès et de journaux d’audit.

Le conseil doit challenger la direction sur la fréquence des revues de sécurité des tiers, la capacité des prestataires à notifier l’établissement en cas d’incident affectant les données partagées, et la possibilité contractuelle de rompre la relation si les obligations de protection des données ne sont pas respectées.

La gouvernance de la protection des données s’étend à la messagerie électronique, au partage et au transfert de fichiers, ainsi qu’aux API utilisées pour les échanges avec l’externe. Le conseil doit s’assurer que ces canaux de communication imposent des contrôles adaptés, préviennent tout accès ou exfiltration non autorisés, et génèrent des journaux d’audit infalsifiables pour le reporting réglementaire et les investigations forensiques.

Développer l’expertise technique et la capacité de challenge du conseil

Une supervision efficace des risques TIC par le conseil exige que les administrateurs disposent de connaissances techniques suffisantes pour challenger la direction, comprendre les arbitrages de risques et prendre des décisions stratégiques éclairées. De nombreux conseils recrutent des administrateurs issus de la cybersécurité, de la technologie ou du risque opérationnel, ou proposent des formations pour renforcer le socle de compétences de l’ensemble du conseil.

Les administrateurs n’ont pas à devenir des experts techniques, mais ils doivent comprendre les concepts fondamentaux comme le chiffrement, l’authentification multifactorielle (MFA), l’architecture zero trust et la réponse aux incidents. Cette connaissance permet au conseil de poser les bonnes questions sur la robustesse des contrôles, la pertinence des analyses de risques de la direction et la proportionnalité des investissements en résilience face aux menaces identifiées.

Le challenge du conseil est le plus efficace lorsque les administrateurs questionnent les hypothèses qui sous-tendent les analyses de risques et les plans de résilience de la direction. Par exemple, si la direction affirme pouvoir rétablir les systèmes critiques en quatre heures, le conseil doit demander quelles dépendances, procédures manuelles ou coordinations sont prises en compte dans cette estimation, et si ces hypothèses ont été validées par des tests.

Le conseil doit challenger l’adéquation de l’appétence au risque TIC avec les attentes des clients, les exigences réglementaires et le positionnement concurrentiel. Ce challenge s’applique aussi aux décisions d’investissement : le conseil doit examiner si les investissements technologiques proposés réduisent le risque, améliorent la résilience ou ajoutent simplement de la complexité.

Opérationnaliser la gouvernance des risques TIC au sein du conseil

Traduire la gestion des risques TIC en gouvernance au niveau du conseil impose un reporting structuré, des seuils d’escalade clairs et des cadres de responsabilité reliant les opérations techniques à la supervision stratégique. Le conseil doit définir ce qui constitue un incident TIC majeur, fixer les délais de reporting, et exiger de la direction des analyses de causes racines et des plans de remédiation.

Les déclarations d’appétence au risque TIC doivent préciser les niveaux acceptables d’indisponibilité, de perte de données et de concentration tiers, et établir des indicateurs pour mesurer la performance par rapport à ces seuils. Le conseil doit réviser cette appétence chaque année, en l’ajustant selon l’évolution des menaces, des attentes réglementaires ou de la stratégie d’entreprise.

Des indicateurs opérationnels comme le pourcentage de systèmes à jour, le nombre de vulnérabilités critiques non corrigées dans les délais et la fréquence des tests de reprise sont des signaux avancés sur la posture de résilience de l’établissement. Le conseil doit suivre ces indicateurs dans le temps, identifier les tendances et challenger la direction en cas de dégradation des performances.

Le risque TIC ne doit pas être géré isolément des risques de crédit, de marché, opérationnels ou de conformité. Le conseil doit veiller à l’intégration du risque TIC dans le dispositif global de gestion des risques de l’établissement, avec des responsabilités claires, des lignes de reporting et des protocoles d’escalade. Cette intégration permet d’évaluer l’impact des dépendances technologiques sur les autres catégories de risques. L’audit interne doit évaluer l’efficacité des contrôles TIC, tester la bonne application des règles et apporter une assurance indépendante au conseil.

Conclusion

La gestion des risques TIC est devenue une discipline de gouvernance au niveau du conseil, qui exige la même rigueur que le risque de crédit, la solidité financière ou la conformité. Les conseils d’administration des banques britanniques qui considèrent le risque technologique comme une affaire purement IT s’exposent à des risques réglementaires, opérationnels et de réputation. Une gouvernance efficace impose de superviser les capacités de cyberrésilience, de challenger la robustesse des contrôles tiers, de garantir la protection des données de bout en bout et de maintenir des capacités de reprise testées, validées et proportionnées aux dépendances des fonctions critiques.

La trajectoire réglementaire pour les banques britanniques s’oriente vers des exigences de plus en plus précises et contraignantes en matière de résilience opérationnelle. À mesure que le Royaume-Uni déploie son propre cadre de résilience opérationnelle — inspiré des principes de la réglementation DORA de l’UE — la FCA et la PRA intègrent le risque TIC comme priorité de supervision, exigeant des conseils qu’ils prouvent non seulement l’existence de politiques, mais aussi l’exercice d’un challenge actif et éclairé au plus haut niveau. Les conseils qui développent une véritable capacité de supervision technique, intègrent le risque TIC à la gestion globale des risques et investissent dans les tests de résilience seront mieux armés pour répondre aux attentes des régulateurs et protéger la continuité opérationnelle et la confiance des clients.

Sécurisez vos données sensibles de bout en bout avec des journaux d’audit infalsifiables et une application Zero Trust

Les banques britanniques doivent opérationnaliser la gouvernance des risques TIC en mettant en place des contrôles qui protègent les données sensibles en mouvement, appliquent la sécurité Zero Trust et des règles adaptées à la sensibilité des données, et génèrent des journaux d’audit infalsifiables pour répondre aux exigences réglementaires. Le Réseau de données privé permet aux établissements de sécuriser la messagerie électronique, le partage et le transfert de fichiers, les formulaires web et les API via une plateforme unifiée qui applique systématiquement le chiffrement AES-256 pour les données au repos et TLS 1.3 pour les données en transit sur tous les canaux de communication.

Kiteworks applique les principes Zero Trust en validant chaque demande d’accès, en restreignant les autorisations selon la classification des données et le rôle utilisateur, et en empêchant tout partage ou exfiltration non autorisés. Les contrôles adaptés à la sensibilité des données analysent le contenu en temps réel, appliquant des politiques de chiffrement, de filigrane ou de blocage selon des règles prédéfinies. Cette approche garantit la protection des données clients sensibles, des rapports réglementaires et des communications professionnelles confidentielles, qu’elles soient partagées en interne, avec des tiers ou avec les régulateurs.

Les journaux d’audit infalsifiables enregistrent chaque accès, modification et partage, offrant une visibilité forensique sur la circulation des données sensibles dans et hors de l’établissement. Ces logs s’intègrent aux plateformes SIEM, SOAR et ITSM, permettant aux centres d’opérations de sécurité de détecter les anomalies, d’enquêter sur les incidents et d’automatiser les workflows de remédiation.

En centralisant les communications de données sensibles sur le Réseau de données privé Kiteworks, les banques britanniques réduisent leur surface d’attaque, simplifient la gouvernance des risques tiers et offrent au conseil la garantie que les contrôles de protection des données sont appliqués de façon cohérente et surveillés en continu. Cette visibilité facilite le challenge du conseil, la conformité réglementaire et la résilience opérationnelle.

Pour découvrir comment le Réseau de données privé Kiteworks peut renforcer la gouvernance des risques TIC et la protection des données de votre établissement, planifiez une démo personnalisée adaptée à vos exigences réglementaires et opérationnelles.

Foire Aux Questions

La gestion des risques TIC est une priorité pour les conseils d’administration des banques britanniques en raison des attentes réglementaires et de l’impact systémique des défaillances technologiques. Les conseils sont désormais responsables de la supervision des risques technologiques affectant les fonctions critiques, la cyberrésilience et la dépendance aux tiers, car ces facteurs peuvent entraîner des perturbations opérationnelles, un contrôle réglementaire et une atteinte à la réputation en quelques heures.

Les régulateurs financiers britanniques attendent des conseils d’administration qu’ils assument directement la gouvernance des risques TIC, sans la déléguer aux comités IT ou risques. Cela inclut la définition de l’appétence au risque TIC, l’approbation des plans de continuité d’activité et de reprise après sinistre, ainsi que la réception de reportings réguliers sur les cyberincidents, la gestion des vulnérabilités et les résultats des tests de reprise pour garantir une supervision éclairée.

Le risque de concentration découle de la dépendance des banques britanniques à un nombre limité de prestataires tiers, comme les services cloud et les opérateurs de paiement. Une défaillance chez un seul fournisseur peut perturber simultanément plusieurs établissements, créant un risque systémique. Le conseil doit donc évaluer la diversification, les systèmes de secours et les garanties contractuelles pour limiter ce risque et préserver la continuité opérationnelle.

Le conseil doit superviser la cyberrésilience en veillant à ce que l’établissement puisse prévenir, détecter, répondre et se remettre d’incidents cyber. Cela implique de challenger les objectifs de reprise, de tester les capacités de reprise via des simulations, et de s’assurer que les plans de réponse aux incidents sont coordonnés et régulièrement répétés entre les équipes, en cohérence avec l’appétence au risque de l’établissement et les exigences réglementaires.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks