La panne informatique confirme les inquiétudes des régulateurs en matière d’externalisation

L’impact de la panne technologique qui a frappé une bonne partie de la planète, le 19 juillet, devrait être limité et de courte durée. Cependant, à plus long terme, elle met en évidence le risque de dépendance technologique à l’égard de tiers. Une menace mainte fois décriée par les régulateurs financiers.

Dans une note de recherche, Morningstar DBRS a déclaré que, bien que les effets de la perturbation mondiale de certains systèmes de technologie de l’information (TI) aient été étendus – touchant des secteurs aussi variés que les compagnies aériennes, les services financiers, les diffuseurs médiatiques, les centres hospitaliers et le commerce de détail – il ne fallait pas craindre un impact durable sur les entreprises concernées.

Par exemple, bien que la perturbation des transports aériens a été importante – un grand nombre de vols ont été annulés et retardés vendredi, et dans certains cas, pendant le week-end -, le problème devrait se résorber rapidement.

« En conséquence, nous pensons que l’impact sur le secteur aérien mondial sera gérable et n’aura pas d’incidence matérielle sur le profil de crédit des compagnies aériennes concernées », a déclaré DBRS.

De même, l’agence a déclaré qu’elle ne prévoyait pas d’effets sur les notations dans le secteur financier.

« L’impact des retombées des problèmes informatiques liés à CrowdStrike sur les banques semble être limité. La plupart des institutions financières semblant être pleinement opérationnelles », a déclaré DBRS, ajoutant que ce furent principalement les banques d’Asie et d’Europe qui furent affectées compte tenu du moment où le problème est survenu.

« Il y a eu quelques problèmes commerciaux en Europe, mais ces incidents semblent avoir eu un impact limité. » Les principaux marchés boursiers d’Europe et d’Amérique du Nord ont continué de fonctionner normalement, seul le service d’information de la Bourse de Londres s’étant révélé indisponible.

Au Québec, la plupart des institutions financières, incluant Desjardins, la Banque Nationale, la RBC et la Banque TD, ont toutes rapporté des incidents mineurs, par exemple le ralentissement de certains systèmes ou des problèmes d’accessibilité.

Dans le secteur du commerce de détail, un certain nombre d’entreprises ont connu des problèmes à la fois dans leurs succursales physiques et dans leurs canaux de commerce électronique, ainsi que dans leurs chaînes d’approvisionnement.

« Certains de ces effets devraient perdurer jusqu’à la semaine prochaine, en fonction du temps qu’il faudra pour restaurer les systèmes et résoudre les perturbations que cela a créé », indique le rapport. L’épisode souligne les avantages de miser sur une « infrastructure technologique robuste et de plans d’urgence bien établis pour assurer la continuité des activités ».

Les pertes de ventes potentielles seront probablement compensées une fois que les activités des détaillants seront rétablies. Le rapport indique que la vente au détail n’en gardera pas de séquelle.

« Cet incident pourrait toutefois inciter les utilisateurs commerciaux de logiciels de cybersécurité externalisés à investir dans leurs capacités informatiques internes ou à chercher à intégrer davantage de redondances et de protections dans leurs systèmes », indique le rapport.

En outre, l’incident pourrait « soulever des questions réglementaires sur la nature oligopolistique de l’infrastructure informatique critique à l’échelle mondiale. Cela pourrait avoir un impact sur le paysage de l’industrie des logiciels critiques à long terme », a avancé DBRS.

Fitch Ratings s’est fait l’écho de ce point de vue. L’agence a rappelé que les décideurs politiques, tels que le Conseil de stabilité financière, « avertissent depuis longtemps que la dépendance croissante à l’égard de fournisseurs de services tiers pour les ressources critiques pourrait entraîner des risques pour la stabilité financière si elle n’est pas correctement gérée. Par exemple, en raison d’un problème transfrontalier d’un grand fournisseur de services informatiques ».

Si l’externalisation peut apporter de la flexibilité aux entreprises, réduire leur dépendance à l’égard des systèmes existants et favoriser l’innovation, elle les expose aux risques liés aux fournisseurs de services informatiques.

« La dépendance des institutions financières à l’égard des tiers s’est accrue ces dernières années dans le cadre de la numérisation du secteur. Les économies d’échelle sont convaincantes, mais elles peuvent également entraîner des risques systémiques », a estimé Fitch dans une note de recherche.

« Nous nous attendons à ce que les autorités fassent pression en faveur d’une coordination et d’une collaboration mondiales pour soumettre les fournisseurs de services critiques à une certaine surveillance », a déclaré Fitch.

Au début du mois, le Comité de Bâle sur le contrôle bancaire a d’ailleurs lancé une consultation sur un nouvel ensemble de normes proposées pour « répondre à la dépendance croissante des banques à l’égard de fournisseurs de services tiers en raison de la numérisation en cours et de la croissance rapide de la technologie financière ».

Ces propositions sont soumises à commentaires jusqu’au 9 octobre.

En début de semaine, les régulateurs financiers européens, dont l’Autorité bancaire européenne, l’Autorité européenne des marchés financiers et l’Autorité européenne des assurances et des pensions professionnelles, ont annoncé leur intention de mettre en place un cadre paneuropéen de coordination des cyberincidents systémiques afin de diriger la réponse du secteur financier à ce type d’incidents.

Dans les mois à venir, ces régulateurs prévoient de mettre en place un secrétariat pour soutenir les opérations conjointes, un forum pour travailler sur les tests et une fonction de coordination en cas de crise.

Le projet découle d’une recommandation du Comité européen du risque systémique, qui a identifié une « lacune dans les cadres de gestion de crise qui pourrait conduire à un manque de coordination du secteur financier en cas d’incident technologique transfrontalier important », ont déclaré les régulateurs.