Le texte de la Banque des Règlements Internationaux a le mérite d’avoir attiré l’attention sur la dépendance des institutions bancaires vis-à-vis de leur infrastructure informatique. A notre connaissance, elle est le première à s’y être aventurée.

Néanmoins, comme la BRI le reconnait dès les premières lignes du « core principle VII », son approche reste très générale. C’est là le principal reproche: le document se contente d’aborder « quoi faire » et souvent « pourquoi le faire » sans jamais envisager « comment le faire ».

En dehors de celà, deux choses étranges sont à relever, à propos de la sécurité d’une part et de la disponibilité d’autre part.

Dans le deuxième chapitre, consacré à la sécurité, la BRI envisage six objectifs ou politiques qui sont :

Or les chapitres trois (Fiabilité opérationnelle) et quatre (Continuité des activités) traitent séparément de la disponibilité. De plus, dans son document « Risk Management Principles for Electronic Banking »¹ publié en juillet 2003, la même BRI reprend les critères de sécurité suivants :

La BRI n’est pas la seule à faire preuve d’incohérence au sujet des critères de sécurité et nous n’avons jamais trouvé une source faisant autorité quant à la question et qui propose une liste de critères claire et argumentée.

Les deux derniers des quatre chapites traitent respectivement de la fiabilité opérationnelle et de la continuité des activités. Outre que les deux ne font finalement que traiter de la disponibilité (et un peu de performance), cette dernière est aussi abordée dans le chapitre précédent consacré à la sécurité. Ceci rend le texte confu et finalement le fait s’apparenter à un catalogue de bonnes intentions.

Cela dit, la critique est aisée et la BRI a été la première à constater que, de plus en plus, les banques ne sont plus que des entreprises ICT avec une license bancaire…

La Banque Centrale Européenne se concentre sur la disponibilité en suivant quatre axes :

Contrairement à la BRI, la BCE avance des objectifs et contraintes clairs dont certains sont chiffrés: RTO de deux heures, obligation d’être en mesure de fermer un jour ouvrable et rouvrir le lendemain sur le site secondaire, test DRP annuel, etc.

Beaucoup plus assertive que la BRI, elle recommande ou impose de

Mais là où BRI aborde l’analyse de problèmes de continuité à partir des hypothèses de défaillances des différents éléments du système, la BCE suggère en plus d’envisager une variété de scénarios plausibles, comme les grandes catastrophes naturelles, les pannes et les actes terroristes.
Mais à moins de vouloir terminer avec un inventaire de tous les malheurs du monde, l’approche de la BRI est bien plus efficace.

Finalement, un peu à l’image de la BRI, la BCE se contente d’un inventaire de recommendations sans expliquer comment faire pour les mettre en oeuvre ou même atteindre les objectifs. Par exemple, elle recommande de posséder un site secondaire. Bien, mais ce n’est certainement pas suffisant pour assurer la disponibilité de ce qu’il héberge. Quels mécanismes mettre en oeuvre? Comment identifier les SPOF restant? Comment évaluer les risques? A toutes ces questions et à bien d’autres, nulle réponse…
A décharge, il faut admettre que ce n’est parfois pas à la BCE d’y répondre, mais elle pourrait, par exemple, recommander l’une ou l’autre norme permettant d’y parvenir.

¹ Bank for International Settlements (BIS), Risk management principles for electronic banking – final document