Les structures des systèmes de paiement : La gestion des risques
Les systèmes de paiement distinguent plusieurs types de risques : les risques opérationnels, les risques juridiques et les risques financiers, ces der¬niers se partageant entre risques de crédit, risques de liquidité, risques de marché et risques systémiques.
Les risques opérationnels
L’analyse des risques opérationnels
En novembre 1985, une panne d’ordinateur paralyse la Bank of New York (l’un des deux market makers avec Morgan des obligations du Trésor américain à 30 ans qui servent de benchmark au marché obligataire), obligeant la Fédéral Reserve à injecter 25 milliards de dollars dans le système de paiement Fedwire. Le 5 avril 2000, le système informatique de la Bourse de Londres (London Stock Exchange) tombe en panne. Un dispositif de sauvegarde était bien prévu, mais les données récupérées se révèlent inutilisables. Le LSE doit suspendre ses opérations. Selon une étude de Price Waterhouse, 90 % des incidents ont pour origine une défaillance du système informatique.
Les systèmes de paiement doivent garantir la confidentialité et Vintégrité des messages. La confidentialité signifie que les données transmises ne sont accessibles qu’aux personnes concernées par le traitement de ces informations. L’intégrité signifie que le contenu du message ne sera pas détérioré lors de la transmission ou du traitement des données.
Aux critères de confidentialité et d’intégrité s’ajoute un certain nombre de réquisits :
- l’authentification (identification et reconnaissance de l’émetteur et du récepteur),
- l’irrévocabilité (l’impossibilité de modifier le contenu de l’ordre de paiement ou même de le retirer une fois que l’ordre est accepté dans le système),
- la disponibilité (la capacité de retraitement des données),
- l’auditabilité (la capacité d’être soumis à une procédure d’enquête extérieure),
- la résilience (la capacité de reconstituer les capacités de traitement), etc.
Les systèmes de paiement sont organisés en réseau : la sécurité du système repose à la fois sur l’opérateur et sur les participants, sur l’organisme central de traitement et sur les composants périphériques. La politique de
gestion des risques doit assurer la fiabilité technique du système, la sécurité des opérations et la continuité des activités.
La gestion des risques opérationnels
Chaque participant définit une stratégie dite « de reprise et de continuité » dont l’objet est de récupérer les données informatiques et de protéger ou reconstituer les capacités de traitement informatique. Le dispositif comprend un système de sauvegarde et un plan de reprise des activités capables d’assurer la fiabilité des opérations techniques, la continuité des activités après sinistre et la maîtrise des programmes informatiques.
La politique de gestion des risques
Toutes les institutions qui participent à un système de paiement : opérateurs, participants, clients, autorités de tutelle, doivent avoir une connaissance précise des risques mis en œuvre par le système de paiement et des objectifs de la politique de gestion des risques. Conçue en association étroite avec toutes les parties concernées, la politique de gestion des risques doit être suffisamment formalisée et documentée pour que chacun connaisse précisément ses droits et obligations en la matière. Les objectifs et les procédures dépendent de l’architecture juridique du réseau : un système très centralisé n’aura pas la même politique sécuritaire qu’un système décentralisé gouverné par les relations bilatérales entre les participants. Les normes de sécurité sont réexaminées régulièrement au regard des besoins du marché et des progrès technologiques.
La fiabilité des opérations techniques
Un « service level agreement » entre les participants fixe les performances minimums qu’ils s’engagent à respecter. L’audit technique s’étend également aux sous-traitants depuis le réseau de télécommunication jusqu’aux fournisseurs d’électricité. Sur la base des historiques, les infrastructures doivent disposer d’une capacité suffisante pour faire face aux pointes de trafic saisonnières et à la croissance du volume d’activité pendant la période d’amortissement des matériels. Sur la base des historiques, il convient de ménager une marge de capacité pour absorber des volumes de transactions imprévus.
Des audits techniques réguliers permettent de s’assurer que chaque participant a les capacités de gérer son accès au système sans mettre en danger la fiabilité du système et la sécurité des autres membres. L’audit porte sur les performances des équipements, leur compatibilité avec le système, la formation du personnel, la politique de gestion des risques, les procédures d’urgence, etc.
La continuité des activités après sinistre
Le système de production doit être conçu de telle sorte que la défaillance d’une des composantes du système ne puisse entraîner la faillite de tout le système (single point offailuré). En cas de sinistre, le trafic est détourné sur un autre système de paiement. Le dédoublement des infrastructures (backing) se fait soit en interne par l’opérateur du système qui installe un deuxième site de production prêt à prendre la relève en cas d’incident, soit en externe au moyen d’accords avec les sous-traitants. Des business continuity arrangements leur imposent la mise en place de procédures d’urgence et l’établissement d’un second site de traitement. Le réseau de télécommunication modifie automatiquement les canaux de transmission en fonction des disponibilités des réseaux (alternate routing).
Le deuxième site doit être maintenu en activité (hot standby) afin qu’il puisse être immédiatement opérationnel en cas de besoin. Dans un système RTGS, la continuité des opérations est essentielle du fait du principe de règlement des ordres de paiement en continu. Dans un système net, l’opérateur dispose de plus de temps pour organiser la récupération des données et la migration des opérations. Le deuxième site doit être une duplication du premier, utiliser les mêmes infrastructures, les mêmes logiciels de traitement, les mêmes réseaux de télécommunication. L’implantation du site de secours doit être choisie de telle sorte que les deux sites ne peuvent être atteints par les mêmes causes (alimentation en énergie, réseaux de télécommunication).
Si toutes les dispositions prévues se révèlent inopérantes (défaillance du deuxième site), la continuité d’activité du système de paiement ne doit pas exclure le recours aux anciennes méthodes afin d’assurer la finalité des opérations : traitement manuel des ordres de paiement à partir des dealing slips, traitement informatisé des copies, utilisation des PC pour la transmission et le traitement, etc. La structure modulaire du système est essentielle pour assurer la continuité des opérations.
La gestion des programmes d’investissement
La conception d’un système de paiement doit être évolutive pour assimiler le mouvement continu d’innovations technologiques. A titre d’exemple, le réseau Internet est un système de télécommunication à bas prix et à forte diffusion massivement investi par les systèmes de paiement. Mais le protocole TCP/IP comporte des risques techniques et opérationnels incompatibles avec un système de paiement sécurisé. Malgré un taux de croissance exceptionnel (doublement tous les ans), les paiements Internet ne pourront se généraliser – notamment dans les relations B2B – tant que la sécurité des transactions ne sera pas assurée.
fixer les règles entre membres d’un même réseau a un coût qui entre dans le calcul des coûts de transaction ‘.
Le risque sur les organismes de compensation
Les risques sont différents si l’organisme de compensation est une entité privée ou une entité publique. Traditionnellement, les systèmes de paiement – cash et titres – étaient des organismes publics disposant d’un monopole. Aujourd’hui la plupart des marchés sont privés ou privatisés ainsi que les organismes de compensation qui leur sont associés. Les anciens systèmes ont été privatisés et les nouveaux marchés se sont constitués sous forme de sociétés anonymes souvent cotées en bourse. Cependant le mouvement de privatisation rencontre certaines limites. Ainsi la plupart des systèmes RTGS sont des systèmes publics gérés par les banques centrales. On a vu que le règlement des systèmes dit « systémique-ment importants » se fait en monnaie centrale auprès de la banque centrale, même si la notion de système « systémiquement important » n’a pas de fondement juridique.
Les systèmes de paiement sont-ils des services publics ?
La notion de service public s’est quelque peu brouillée à la suite de la vague indiscriminée de privatisations. En outre, certains systèmes de paie¬ment combinent des organismes privés (les bourses) et des organismes publics (les systèmes de conservation).
Le service public est fondé sur deux notions : la situation de monopole et le bien public. L’égal accès à un service de paiement pourrait donc être considéré comme un bien public. Reste à savoir si l’efficacité, le coût et la sécurité des paiements sont mieux assurés par un service public disposant d’un monopole ou par une société privée à but lucratif. L’efficacité incline vers l’entreprise privée, la sécurité vers le service public. Reste le problème des coûts de transaction qui intéresse l’ensemble des acteurs économiques et conditionne le fonctionnement des marchés.
Les systèmes de paiement qui se situent dans un marché fortement concurrentiel (comme les systèmes de règlement-livraison de titres) sont soumis à une intense pression sur les tarifs et une forte incitation à l’innovation. L’innovation est un moyen de s’assurer une situation provisoire de monopole. Mais les critères de performance sont substituables. L’augmentation des performances et/ou la baisse des frais de transaction peuvent être obtenues au détriment de la sécurité. Dans une situation de monopole, les gains de productivité sont distribués aux actionnaires sous forme de dividendes et au détriment des usagers. Dans un service public, les profits sont distribués aux usagers sous forme de baisses de tarifs. L’affectation des profits dépend du statut de l’organisme de compensation : distribution de dividendes ou augmentation de valeur pour les actionnaires ; augmentation des performances, amélioration de la sécurité,
Vidéo : Les structures des systèmes de paiement : La gestion des risques
Vidéo démonstrative pour tout savoir sur : Les structures des systèmes de paiement : La gestion des risques
