AFD // Document d'enregistrement universel 2021

GESTION DES RISQUES 4 Facteurs de risques

du Groupe, sur ɸ sa réputation (en cas de fuite de données confidentielles ou personnelles par exemple), sur sa capacité à répondre à certaines exigences réglementaires et engendrer des pertes financières non négligeables (en cas de détournement des fonds de l’AFD par exemple ou de défaillance informatique exposant l’AFD à une amende). Au-delà des conséquences liées au risque de cyber-attaque, le groupe AFD entre dans une phase de profonde transformation d’une large partie de son système d’information, poursuivant un double objectif de gain d’efficience et de développement de fonctionnalités adaptées aux futures exigences réglementaires et à la croissance de l’activité. Le Plan d’Orientation Stratégique Informatique n° ɸ 4 (POSI ɸ IV) validé en juillet ɸ 2021 décrit cette phase de transformation et les objectifs associés pour les prochaines années, concernant notamment les activités Finances et risques (programme Fabrik lancé en ɸ 2020), les activités Opérations, l’ouverture du SI vers l’extérieur, et un vaste programme d’amélioration de la sécurité des SI. Comme toute phase de transformation, elle est porteuse de risques, notamment en termes de respect des budgets et des délais pour la livraison de nouveaux outils et/ ou évolutions des outils en place. Le POSI ɸ IV a ainsi redéfini une gouvernance globale des systèmes d’information, mise en place fin 2021, attestant d’un pilotage renforcé, à la hauteur des enjeux sous jacents, impliquant le comité exécutif par la création d’un Comex Consultatif des SI, la définition et revue semestrielle des trajectoires métiers, l’évolution des compostions et rôle du comité d’investissement SI (COSI), et l’articulation avec les gouvernances de programmes dédiées, sur le modèle du programme Fabrik Finances et Risques (équipe programme dédiée, COPIL sous présidence Direction générale, la mise à Une évolution de la réglementation financière européenne ou française se traduisant par une augmentation sensible des fonds propres nécessaires aux activités bancaires de l’AFD aurait plusieurs impacts significatifs pour le groupe AFD. D’abord un impact stratégique sur le programme d’activité avec l’arrêt ou la réduction significative de certains types de produits, associé à un impact de modèle lié à la réallocation des ressources humaines vers d’autres activités/produits. Le risque de subir un impact en termes de rentabilité n’est pas non plus à exclure. La ɸ profitabilité peut être entamée consécutivement à une hausse des charges, par exemple suite à de nouveaux investissements et de nouvelles ressources mis en place pour limiter le risque opérationnel qui serait lié à l’introduction de nouvelles exigences dont la mise en œuvre ne serait pas faisable à isopérimètre. Les modifications du cadre législatif restent très largement imprévisibles à l’instar de la mise en place de Bâle ɸ III, suite à la crise financière. Si de tels changements ont une probabilité forte de se réaliser dans le futur, il est impossible d’en évaluer au préalable la nature et la portée. disposition d’équipes à temps plein). 4.1.2.4 Risque réglementaire Des modifications dans l’environnement réglementaire et législatif pourraient impacter significativement les opérations du groupe AFD.

durablement atteinte à de telles missions. Il en va de même de tout financement qui conduirait le Groupe à participer, à son insu, à un mécanisme de blanchiment ou de financement du terrorisme. Le groupe AFD intervient dans un environnement très spécifique ɸ : il apporte notamment son soutien à des pays en crise, fragiles, à faible capacité et/ou stigmatisés dans l’index de perception de la corruption établi par la société civile ɸ (1) . Il appuie souvent des maîtrises d’ouvrage publiques faibles, dans des environnements de contrôle dans le domaine des finances publiques précaires ou intervient, dans plusieurs de ses pays d’intervention, dans des secteurs, notamment bancaires et financiers, fragiles ou non matures en matière de régulation et de contrôle. Le Groupe octroie également ses financements dans des pays qui font l’objet de mesures de sanctions économiques et financières internationales, communautaires ou nationales. Le groupe AFD est particulièrement conscient des singularités présentées par ce contexte d’intervention. Nonobstant la solidité avérée du dispositif de maîtrise des risques, le Groupe pourrait être confronté à la prédation de ses financements ou pourrait, à son insu, concourir à un mécanisme de blanchiment ou de financement du terrorisme. Cette situation pourrait faire naître un risque juridique et financier important pour le Groupe et porter atteinte à son image et sa réputation dont l’impact est détaillé supra . À ce jour, le groupe AFD ne fait face à aucun contentieux en France ou à l’étranger pour non- respect de la réglementation en matière de sécurité financière, de corruption ou pour non-respect des sanctions. 4.1.2.3 Risque informatique et cyber Comme pour toutes les institutions financières, l’exposition de l’AFD au risque de violation de données, de cybercrimes ou de défaillances informatiques s’est accrue ces dernières années sous l’effet conjugué de plusieurs facteurs ɸ : le recours croissant aux solutions dans le « ɸ cloud ɸ » ɸ ; le recours à de nombreux prestataires en assistance technique, pour accompagner la croissance de l’AFD et des besoins SI associés ɸ ; l’augmentation du nombre de cyberattaques, dont les modes opératoires sont de plus en plus élaborés ɸ ; et enfin, la volonté du groupe AFD de devenir un « ɸ bailleur numérique ɸ » d’ici à ɸ 2022. La transition numérique a en effet été identifiée comme l’une des six grandes transitions fixées par le Plan d’Orientation Stratégique 2018-2022 et les évolutions engagées depuis, notamment la dématérialisation massive des documents et processus ainsi que la généralisation du télétravail pendant la pandémie COVID-19, rendent le Groupe davantage dépendant des ressources informatiques. Le Groupe ne peut se prémunir totalement contre les risques de dysfonctionnements ou d’interruption de ses systèmes, de défaillance de prestataires informatiques ou d’actes malveillants de la part d’agents internes ou de tiers externes (notamment le risque de fuite de données confidentielles en cas de piratage et le risque de destruction logique du centre de données). Même ɸ si l’AFD n’a à ce jour jamais été victime d’une cyberattaque de grande ampleur, la matérialisation de ces risques pourrait avoir des impacts importants sur l’activité

(1) Pays de la zone MINKA ࣢ : pays du Sahel, pays du pourtour du lac Tchad, République centrafricaine et Moyen-Orient.

94

www.afd.fr

DOCUMENT D’ENREGISTREMENT UNIVERSEL 2021