Bien plus que la protection des données et des fonds de la clientèle

Bien comprise, la réglementation peut être un facteur de différenciation et pas seulement une obligation.

Les PME d’autres branches peuvent aussi profiter des enseignements tirés du secteur financier en adoptant la bonne approche en matière de réglementation et en s’alignant sur des normes.

Si une PME peut prouver qu’elle dispose de processus de sécurité, elle se positionne comme un partenaire commercial fiable dans l’environnement B2B, ce qui lui confère un avantage en termes de confiance sur le marché.

L’objectif premier de chaque réglementation dans le secteur financier reste inchangé, à savoir la protection permanente des données et des fonds de la clientèle. Le capital le plus précieux d’une banque, la confiance, repose sur la sécurité.

La réglementation ne garantit cependant pas seulement la sécurité, elle influence également la manière dont l’innovation voit le jour. Les nouvelles technologies telles que l’intelligence artificielle ou les solutions dans le cloud ouvrent de nouvelles perspectives, tout en exigeant des contrôles approfondis et des responsabilités clairement définies. En tant que CISO, ma mission consiste à concevoir ce cadre de manière à ce que l’innovation reste possible de manière responsable, sans faire de compromis en termes de sécurité.

Accent sur les exigences réglementaires

La pression réglementaire, qui s’intensifie, peut être positive si elle est mise en œuvre en fonction des risques.

Chez Valiant, l’accent est principalement mis sur trois thèmes en matière de conformité:

• Garantie de résilience: conformément aux exigences de la FINMA, nous devons être en mesure de gérer les perturbations telles que les cyberattaques ou les pannes des prestataires de services et de rétablir rapidement un fonctionnement normal.
• Utilisation du cloud et de l’IA: l’évaluation des risques et la prise de décision se basent sur des évaluations standardisées. Dans ce cadre, nous étudions des mesures techniques et organisationnelles qui permettent de garantir la protection permanente des données critiques.
• Renforcement de la gouvernance: des cadres tels que le NIST Cybersecurity Framework (CSF) et la norme ISO 27001 fournissent une structure pour l’analyse des risques, les mesures de protection et l’amélioration continue.

Notre objectif est de fonder la confiance sur des faits. Les directives ne doivent pas constituer un obstacle, mais plutôt des lignes directrices permettant à une banque de se développer de manière sûre et durable.

Effets positifs pour la clientèle

La réglementation instaure la confiance, qui est à son tour indispensable à l’innovation numérique. Les clientes et clients bénéficient du fait que les nouvelles technologies ne sont introduites qu’après une évaluation des risques vérifiée et une définition claire des responsabilités.

• La sécurité et la disponibilité des données sont garanties selon des normes reconnues.
• Les incidents de sécurité sont détectés et résolus rapidement.
• Les services numériques, notamment ceux qui s’appuient sur l’IA, peuvent être utilisés en toute sécurité.

La sécurité devient ainsi le moteur d’une innovation responsable. Une banque qui applique rigoureusement les exigences réglementaires crée une base fiable pour le développement numérique.

Défis et risques d’un excès de réglementation

La réglementation mobilise des capacités. Chaque nouvelle exigence nécessite des justificatifs et des ajustements. Les petits prestataires de services financiers, en particulier, doivent évaluer avec soin quelles activités apportent un réel bénéfice en matière de sécurité. Trop de directives détaillées peuvent freiner l’innovation, augmenter les coûts et allonger les délais de mise sur le marché. La réglementation doit protéger, et non paralyser.

Un avantage concurrentiel grâce à des solutions conformes

Les exigences réglementaires ont également un impact sur les fournisseurs de solutions informatiques et de sécurité. Les entreprises qui conçoivent leurs produits en fonction des normes et des cadres réglementaires en vigueur s’assurent un avantage concurrentiel évident. Avec de telles solutions, il est plus facile de prouver la conformité, les efforts de mise en œuvre sont réduits et la confiance de la clientèle est renforcée. Pour une PME, cela signifie moins d’efforts, car de nombreuses exigences en matière de contrôle et de sécurité sont déjà couvertes par la solution. Tout le monde y gagne.

Considérer les exigences réglementaires non pas comme un obstacle, mais comme un gage de qualité, permet de renforcer l’ensemble de la chaîne de création de valeur.

Conclusion: la sécurité sert de fondement à l’innovation

La sécurité et l’innovation ne sont pas incompatibles. Seules les personnes qui connaissent et maîtrisent les risques peuvent utiliser de manière responsable les nouvelles technologies telles que le cloud ou l’IA.

La mission de chaque entreprise consiste donc à considérer le cadre réglementaire comme une opportunité: il s’agit de mettre en œuvre les exigences de manière à favoriser l’innovation au lieu de l’entraver. En effet, la confiance ne naît pas de l’immobilisme, mais d’un développement sécurisé.

La réglementation rencontre alors l’innovation, et c’est précisément ces aspects qui décident de la compétitivité à long terme d’une banque.

 

Hans Ulrich Amsler, Chief Information Security Officer