Exercice de crise pandémie pour les banques de Hong Kong – stress test

Au mois d’octobre dernier, alors que les émeutes faisaient rage à Hong Kong, une cinquantaine de banques de cette cité gérant un volume d’actifs de $ 6.000 Mds, ont été confrontées à un exercice de crise pandémie sur la base d’un scénario de crise cauchemardesque : une pandémie balayant la ville suivie d’une cyberattaque puis d’une panne d’infrastructure Télécoms.

Source: www.reuters.com

Un stress test fondé sur un scénario complexe

Le scénario trouvait son origine dans une pandémie de grippe porcine émanant d’Indonésie, le virus ayant passé la barrière des espèces pour s’attaquer à l’homme avant de s’étendre à Hong-Kong, suivie de problèmes de connectivité à Internet ainsi que d’une cyberattaque conduite par un salarié mécontent de devoir travailler pendant la pandémie.

La simulation de crise prévoyait une contagion rapide des habitants conduisant à l’absentéisme d’un tiers du personnel et à une disruption des systèmes d’information provoquant un arrêt des opérations. Avec l’arrivée du coronavirus quelques mois plus tard, le scénario apparaît aujourd’hui comme prémonitoire même si les cyberattaques et disruptions des réseaux Télécoms ne sont pas au rendez-vous !

Un exercice de crise sur table reproduisant des stress tests conduits aux USA et en Grande-Bretagne

Ce table-top exercice d’une durée de quatre heures impliquait les cellules de crise de 42 banques y compris Morgan Stanley, HSBC, JP Morgan et Goldman Sachs. A l’image des stress test menés par les USA (“Quantum dawn”) et la Grande-Bretagne (“Waking Shark”‘), toutes les 10 minutes, les équipes de crise recevaient des informations sous forme de vidéos montrant les évolutions du marché et de messages postés sur les réseaux sociaux, fake news comprises

Les équipes de crise mobilisaient autour des dirigeants, les responsables communication, juridique, IT ainsi que les directeurs des opérations et devaient s’attacher à traiter les problématiques opérationnelles de cette gestion de crise tout autant que le volet de communication de crise pour défendre la réputation de leur établissement et mettre en oeuvre les process de continuité d’activité.

Un enseignement retiré de cette simulation de crise pandémie : des plans de continuité d’activité peu adaptés à un schéma de crise complexe

Pour parer aux risques infectieux, les banques ont autorisé une partie de leur personnel à opérer en télétravail, transférant l’autre partie des salariés dans d’autres bureaux.

La cyberattaque conjuguée à la crise pandémique a clairement posé la question de la sécurisation du traitement de données sensibles en télétravail. Les banques ont ainsi conclu à la nécessité de solliciter auprès des autorités bancaires la permission de recourir à la signature numérique pour un nombre accru de documents.

La moitié des participants ont indiqué, après-coup, que la pandémie et l’absentéisme ne constituaient pas le problème le plus aigu à gérer. La panne d’infrastructure et la cyberattaque ont en effet  substantiellement renforcer la complexité de la gestion de crise.

Un scénario d’exercice de crise pandémie proche d’un exercice interministériel réalisé cet automne en France.