Comment les banques commerciales haïtiennes conçoivent-elles leur cadre de gouvernance et de gestion des technologies de l’information (TI) en temps de crise?

Publié le 2022-11-24 | lenouvelliste.com

Au cours du mois de septembre, je me trouvais dans l’incapacité d’accéder à mon profil en ligne de ma Banque à partir duquel l’essentiel de mes transactions (presque devenues occasionnelles en raison des risques encourus) est réalisé même avec des fonctionnalités réduites pourtant indispensables par rapport à la réalité locale. Tout en réduisant mes activités financières avec cette Banque, elle demeure quand même l’unique à offrir un tel service que j’utilise à date (absence de concurrence oblige). Certains lecteurs moyennement avisés diraient, à quoi ça sert de détenir un accès en ligne en tout temps de vos comptes bancaires en Haïti puisque la quasi-majorité des épargnants[1] ou des transactions s’effectuent dans les succursales de ces banques en témoignent les longues files d’attente?

Ce texte vise à aiguiser la compréhension du public majoritairement utilisateurs des services financiers en Haïti sur les enjeux relatifs aux comportements des dirigeants de ces entreprises dans l’exercice de leurs fonctions en mettant emphase sur les pratiques TI. Il s’agit d’abord d’élucider ce que représente de manière générique les services bancaires dématérialisés en termes de contenu et d’avantages. Ensuite, en témoignant ce que j’ai dû faire face avec une banque de la place à la suite d’une indisponibilité prolongée de son site de transaction, nous abordons la manifestation concrète d’un inconvénient lié au service bancaire en ligne lorsqu’on fait face à un déficit de cadre de gouvernance et de gestion qui soutient particulièrement la disponibilité (gestion de la continuité et des risques) de ces services. Bien sûr, nous allons conclure avec des propositions d’amélioration qui doivent être matérialisés à la suite des déclarations d’intention.

On assimile le monde actuellement à un grand village où diverses opérations peuvent être conduites à distance. Ce qui permet à diverses entreprises réparties dans tous les secteurs d’activités et de tous les recoins de la planète d’offrir leurs services et produits aux clients intermédiaires ou finaux. Ainsi, les services bancaires ne sont pas exempts de cette réalité où les banques commerciales peuvent aider leurs clients (entreprises et individus) à bénéficier des nombreux avantages de leurs services web ainsi que leurs applications mobiles pour la plupart très complets dans leur offre.

Les clients des institutions bancaires utilisent les services en ligne dans la perspective d’évacuer l’obligation de se déplacer en succursale pour réaliser une opération financière telle que déposer ou faire le retrait de fonds (compte personnel ou celui d’une entreprise), effectuer une demande de prêt ou de carte de crédit, de virer des fonds à des fournisseurs ou créanciers, de payer des factures ou des droits et taxes,  .. Toutes ces opérations facilitent non seulement des économies de temps (visites incessantes dans les succursales, faire la queue) et d’argent (réduction des frais bancaires, options avec frais déduits ou éliminés,  ..) pour les utilisateurs mais également pour les banques elles-mêmes qui réduisent les frais de maintenance de leur succursale physique.

Ces services bancaires en ligne fournis par les banques et propulsés par le virage numérique, tout en accordant de nombreux avantages précités, peuvent rapidement avoir des effets pervers sur la qualité du service et l’image même de l’institution en question (perte de part de marché dans un environnement fortement concurrentiel où surtout la marge de profit semble être juste) face à des clients devenus de plus en plus exigeants en raison de la diversité des offres.  

Les faits. Je souhaite réaliser une opération financière à partir de mon compte en ligne de ma banque locale au jour 1 qui marque une sortie progressive du « peyi lòk » pour ceux qui habitent la zone métropolitaine de Port-au-Prince. À mon grand étonnement, en tapant l’url (adresse du site de la Banque), il affiche « accès refusé ». La première chose qui me vient à l’esprit est que cette Banque vient de subir une nouvelle attaque puisqu’au début de l’année (2022) plusieurs services (en ligne, carte de crédit et débit,  ..) offerts par cette dernière ont été dysfonctionnels. De plus, la note de reprise n’a rien indiquée qu’elle était véritablement la nature du problème en question. Des rumeurs circulent sur un possible attaque informatique. Même s’il s’agissait d’un cyberattaque qui occasionnerait des pertes de données importantes ou non, c’est aussi compréhensible de leur part puisqu’aucune disposition légale ou réglementaire n’existe actuellement en Haïti en la matière pour obliger les entreprises à signaler des incidents de confidentialité auprès des institutions compétentes (aux États-Unis, Agence de cyber sécurité et de sécurité des infrastructures /CISA du ministère de la Sécurité intérieure dans les 72 heures qui suivent ou en Europe/UE, Règlement Européen pour la protection des données /RGPD avec l’obligation de notification élargie). Depuis, plusieurs jours se sont écoulé avec le même message d’erreur sur le site. À ma connaissance, aucune note n’a été publiée au moment où je complète la rédaction de cet article pour faire point sur la situation.

Il y a une limite pour quantifier l’impact réel de l’incident par manque de transparence sur le nombre d’individus ou d’entreprises qui utilisent ces services et qui sont affectés par cet arrêt prolongé toutefois avec une part de marché en termes de dépôt total de plus d’un quart (¼) de l’ensemble du système (BRH, 2022), les conséquences ne sont pas négligeables. Combien de clients qui sont incapables de se déplacer vers une succursale ou qui sont en dehors du territoire et se trouvent dans l’impossibilité d’honorer une obligation, régler une facture d’un fournisseur, virer des fonds au profit d’un centre hospitalier à la suite d’une urgence ou transférer des fonds en local ou ailleurs? 

Ces difficultés techniques ne sont autre que l’expression d’un malaise plus profond de la manière dont la direction de cette institution s’acquitte de ses responsabilités et pratiques dans le cadre d’une orientation stratégique devant assurer une gestion convenable des risques aussi bien des ressources de manière correcte. La gouvernance des TI qui rassemble un ensemble de processus visant à faciliter la prise de décisions efficace dans les investissements et les activités TI est-elle en lien avec les objectifs stratégiques (ligne d’affaires) et comment elle contribue à l’atteinte de ces derniers? L’organisation planifie-t-elle la continuité de ses opérations de système d’information en cas de sinistre (« peyi lòk », défaillance de serveur, bris de confidentialité, tremblement de terre, attaque par déni de service,  ..) dans un environnement caractérisé par des incertitudes récurrentes ?

Une fonction relevant essentiellement du Conseil d’administration, il a la responsabilité de déterminer la valeur ajoutée des TI pour l’organisation et de gérer optimalement les risques. Dès lors que la Haute direction et les dirigeants principaux ne considèrent pas l’investissement dans les TI comme étant une fonction stratégique, il est devenu donc difficile d’identifier et de mesurer adéquatement les vulnérabilités et menaces touchant les ressources informationnelles opérationnalisées. L’organisation en question se trouve dans l’incapacité de tenir compte des difficultés inhérentes au marché dans lequel elle évolue afin de livrer de la valeur à l’organisation ou décide de ne pas agir volontairement dans un environnement non concurrentiel, voire non exigeant en matière de conformité aux lois et règlements. Mais ce n’est pas tout gagné quand même!

Dans un environnement marqué à la fois par une faiblesse des exigences légales et réglementaires de conformité en Haïti en matière de gestion des incidents de sécurité et du contexte international dynamique, les banques commerciales qui manipulent des données personnelles des clients autres que ceux qui ne sont pas Haïtiens ont des obligations. C’est le cas au regard du RGPD pour celles qui détiennent les informations personnelles de clients résidents de l’UE de prendre des mesures de sécurité permettant d’assurer une sécurisation maximale de l’intégrité de ces données stockées dans leur système d’information. Des sanctions pécuniaires accompagnent le non-respect de ses obligations qui pourraient réclamer une amende jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial de l’entreprise condamnée.

En effet, adresser ces différents enjeux liés aux TI requiert d’abord une prise de conscience de la part de la Haute direction à l’existence réelle d’une situation problématique qui peut faire mal à l’organisation en termes de coût ou voir ces enjeux TI comme une véritable opportunité pour augmenter l’efficacité ou protéger la réputation de l’organisation. Ce n’est pas un simple slogan. À partir de cet arrimage entre les objectifs stratégiques d’affaires et les objectifs TI, l’institution bancaire pourra adopter un ensemble de mesures (actualisation/élaboration politiques et procédures, cadres,  .. ). Dans ce cas spécifique, il peut s’agir des mesures relatives à la continuité des opérations et la reprise après sinistre qui devrait la permettre de continuer à offrir des services essentiels en cas de perturbation et de remonter la pente d’une interruption brutale de ses activités.   

[1] Le masculin est utilisé pour alléger la lecture du texte.

Moïse CELICOURT Spécialiste en gestion des technologies
Auteur


Réagir à cet article