BFM Business : « Nous nous assurons que les banques et les assurances respectent les réglementations »

Laure Closier 

Notre invitée ce matin, c'est Emmanuelle Assouan. Bonjour, vous êtes secrétaire générale de l'Autorité de contrôle prudentiel et de résolution, l'ACPR, gendarme des établissements bancaires et des compagnies d'assurance. Vous êtes adossés à la Banque de France et d'ailleurs, fait une partie de votre carrière à la Banque de France. Quand on dit contrôler les activités des établissements bancaires et de l'assurance, qu'est-ce que vous faites précisément, par rapport à l’AMF ou la BCE ?

Emmanuelle Assouan

Nous sommes le superviseur des banques et des assurances. Cela veut dire que nous nous assurons qu’elles respectent les réglementations qui leur sont applicables. Elles ont trait, bien entendu, à l'activité financière, mais vont aussi beaucoup plus loin. Il s’agit, par exemple, de la gestion des risques opérationnels avec la directive DORA (Digital Operational Resilience Act) sur le risque cyber ou des exigences en lien avec à la protection de la clientèle.

Au-delà de ça, on s'assure que les banques et les assurances prennent les bons virages stratégiques, notamment en termes de technologie, de digitalisation, parce que ça fait partie de leur performance de long terme et que l’on veut continuer à avoir des banques et des assurances performantes à l’avenir.

Laure Closier 

Les banques françaises sont bien capitalisées. Il n'y a pas d'inquiétudes sur la solidité du système bancaire français, mais on a des vents de face qui arrivent, que ce soit sur l'intelligence artificielle, sur les risques climatiques, sur la dérégulation américaine. Je commence avec le sujet Mythos dont on parle quand même aujourd'hui dans toutes les banques avec cette idée que des cyberattaques peuvent arriver de n'importe où. Comment regardez-vous ce dossier sachant que toutes les banques n'ont pas eu accès à Mythos ? Puisqu'aujourd'hui la technologie est réservée aux banques américaines. Il peut y avoir une distorsion, d'ailleurs, avec les banques américaines qui ont des filiales en Europe. Qu'est-ce que vous dites aujourd'hui aux banques ? Leur dites-vous d’aller regarder comment fonctionne Mythos, de trouver un moyen parce que le danger arrive ? Comment communiquez-vous avec elles ?

Emmanuelle Assouan 

Le risque cyber, à l’ACPR, à la Banque de France et pour la sphère des acteurs globaux de la stabilité financière, est en haut de notre agenda. C’est le cas depuis longtemps ; cela a été rehaussé à cause de la guerre russe en Ukraine avec les attaques cyber qu'on pouvait supposer à cet endroit.

Il y a une nouvelle impulsion donnée avec ces outils d'intelligence artificielle qui augmentent la capacité de protection, d'identification des vulnérabilités. Mythos, que vous mentionnez, est un outil très efficace pour les défenseurs pour régler un certain nombre de problèmes, mais placé dans les mains d'attaquants malveillants, il serait problématique, notamment vis à vis des institutions qui n'auraient pas pris les mesures adéquates au préalable.

Nous sommes bien armés en Europe parce que depuis longtemps et depuis début 2025, nous avons une réglementation qui s'appelle DORA (Digital Operationnal Resilience)  et qui enjoint d’une part, les autorités, chargées de le faire respecter, mais aussi les institutions financières d'avoir la bonne gouvernance, la bonne gestion du risque cyber, de faire des tests d'intrusion pour vérifier qu'elles sont peu attaquables et de réaliser le recensement des incidents et de tous leurs services fournis par des prestataires tiers qui pourraient être des vecteurs plus importants de risque cyber.

Laure Closier 

Vous dites que c'est gérable ?

Emmanuelle Assouan 

Nous avons un déjà cadre et une gouvernance associée au risque cyber et nous sommes organisés. On a un défi d'accélération dans l’identification des vulnérabilités, dans les patchings, c’est-à-dire les réparations, de façon de plus en plus importante, plus volumineuse et plus rapide. Mais nous sommes en mesure de le faire. La Banque centrale européenne, qui supervise avec nous les banques les plus importantes de la zone euro, agit. Nous agissons aussi pour alerter.

Laure Closier 

Il faut aller plus vite ? Plus vite que les hackers ?

Emmanuelle Assouan 

Exactement, c’est une question de vitesse. On a la bonne gouvernance, on répare et on sera en mesure de se protéger. Les banques et les assurances sont bien protégées.

Laure Closier 

Il y a la question du crédit privé. Là, on a peut-être plus de craintes du côté des assureurs que du côté des banques. Est-ce que pour vous, c'est circonscrit aux États-Unis ? Est-ce que ça peut arriver du côté européen d'avoir des fonds avec des problèmes de liquidité ?

Emmanuelle Assouan 

Le crédit privé, c'est très peu d'expositions au bilan des banques, environ 0,4 %. Un point important est que cela augmente de façon assez exponentielle, avec à peu près + 25 %, ne serait-ce que sur l'année 2025. Du côté des assurances, c'est à peu près 1 % de leurs bilans. Cela reste donc très limité.

Mais on a une problématique de bonne compréhension des enjeux parce qu'il nous manque des données. Cela fait partie des éléments qu'on ne collecte pas en termes de données et, par ailleurs, le crédit privé est très protéiforme. On peut avoir des expositions aux entreprises qui sont financées par les crédits privés et par les banques. Il y a du crédit bancaire habituel, on peut avoir des financements des fonds eux-mêmes et on peut aussi avoir du financement sur les investisseurs qui détiennent les fonds.

Pouvoir agréger tout cela, c'est avoir une bonne vision du risque crédit privé. On n'est pas sûr que cette vision consolidée soit encore la bonne.

Néanmoins, le point d’attention principal est que le crédit privé est plus important du côté des Etats-Unis. Or, on sait que quand il y a des problèmes outre-Atlantique, comme pendant la crise financière de 2008, il y a des effets de bord et de la contagion qui peut impacter nos bilans.

Laure Closier 

Qu’est-ce que vous dites ? Est ce qu'il faut ralentir ? Vous dites on a fait + 25 % sur le crédit privé l'année dernière : est-ce que c'est un secteur qui manque de régulation et que les gens comprennent mal ? Il faut arrêter ou c'est un financement de l'économie parmi d'autres ?

Emmanuelle Assouan 

C’est un moyen de financement de l'économie parmi d'autres, qui permet de prendre de l'épargne et de financer notamment des secteurs technologiques. Ensuite, il faut pouvoir encadrer les risques, bien les gérer, bien les identifier, et c'est cela qui est essentiel.

En tant que superviseur, on ne dit pas « il ne faut pas prendre de risques ». C'est important, en tant que banques et assurances de prendre des risques, c’est à cela que servent ces institutions financières. Mais il faut pouvoir les gérer en toute connaissance de cause et mettre les bons fonds propres en face.

Laure Closier 

Justement, gérer les risques en toute connaissance de cause sur le risque climatique, c'est complexe. Comment travaille-t-on à l’ACPR ? Vous faites des modèles où vous regardez potentiellement des communes entières qui pourraient ne plus être assurées. Vous acceptez qu'on puisse ne plus complètement assurer des gens qui seraient trop en risque. Comment vous regardez ça ?

Emmanuelle Assouan 

À l’ACPR et à la Banque de France, nous avons toujours été très pionniers sur le risque climatique. En 2021, nous avons été les premiers à l’ACPR à faire un stress test climatique pour les banques et les assurances, pour savoir comment les bilans allait réagir sur du risque qui s'accumule sur des horizons longs, sur 50 ans par exemple. C'est une vision prospective, car nous ne disposons pas de statistiques, qui nous permettent de faire des modèles habituels sur des comportements passés.

Le risque climatique, que ce soit un risque physique, donc la survenance d'événements climatiques extrêmes, ou des risques de transition liés à des politiques pour décarboner l'économie, est très significatif en termes d'impact macroéconomique à un horizon court et moyen terme. Pour vous donner une idée, dans les scénarios réalisés dans le cadre d'un réseau de banques centrales, l'impact à court terme sur deux ou trois ans, est le même impact qu'un choc Covid quand on a un scénario de période de sécheresse, puis un scénario d'inondation sur deux années successives.

Laure Closier 

Une fois qu'on sait ça, qu'est-ce qu'on fait alors ?

Emmanuelle Assouan 

Notre point, c'est d'avoir le bon diagnostic, la bonne exposition aux risques pour chacun des établissements de crédit et des organismes d'assurance, des plans de transition prudentiels, une bonne gestion et gouvernance de ces risques. Il y a la nécessité de développer le financement de la transition, de porter une attention forte à l'adaptation et, à ce titre, nous avons un message plus particulier pour les assurances. Vous mentionnez l’assurabilité : les primes augmentent, c'est aussi symptomatique de l'augmentation des sinistres. Il faut que l’on fasse davantage d'adaptation, davantage de prévention pour limiter cette pression à la hausse qui pourrait poser un problème d’assurabilité in fine.