NATIXIS - Document de référence et rapport financier annuel 2018

3 FACTEURS DE RISQUES, GESTION DES RISQUES ET PILIER III Facteurs de risques

attentatsterroristes.Par le passé, Natixis a par exempledû faire face à une crue de la Seine qui a conduit à la mise en place de mesures de protection spécifiques (voir paragraphe 3.2.8.5 du présent document de référence sur le dispositif de gestion des risques pour une information détaillée sur les mesures prises pour assurerla continuitéd’activité). Les pertes et les dommagesque pourraitsubir Natixisen cas de survenancede telsévènements concernentsesbiensmatériels,ses actifsfinanciers,sespositionsdemarchéou sescollaborateurs clés. En outre, ces événementspourraientperturberl’infrastructurede Natixisou cellede tiersaveclesquelsNatixisconduitsesactivitéset pourraientégalementengendrerdes coûts supplémentaires (liés notammentaux coûts de déplacementdu personnelconcerné)et alourdirses charges(en particulierau travers d’une augmentation des primesd’assuranceou de l’exclusionde certainsrisquesde sa couvertured’assurance).À la suite de tels événements,Natixis pourraitêtre égalementdans l’incapacitéd’assurercertainsrisques entrainantun accroissement de son risque global. D’autres changementsdéfavorables imprévus d’ordre politique, militaireou diplomatiquepeuventsurveniret créer une instabilité sociale ou un cadre juridique incertain pouvant avoir un impact négatif sur la demande pour les produits et services offerts, ou sur le niveau des risques pour Natixis et d’une manière plus généralesur l’ensemblede ses activités. Natixis est exposée à des risques émergents, en particulier à des risques liés à la cybercriminalité qui pourraient avoir un impact significatif défavorable sur son activité, sa situation financière et sa réputation Natixisest confrontéeà de nouveauxtypesde risquesapparusces dernièresannées,en particulierle risquelié à la cybercriminalité, et pourrait être exposéeà d’autresrisques émergentsà l’avenir.La cybercriminalitédésigne un ensemble d’actes malveillantset/ou frauduleuxs’appuyantsur desmoyensnumériquesafin d’atteindre les données(personnelles,bancaires,assurantielles, techniquesou stratégiques), les traitements et les utilisateurs pour porter significativementpréjudice à une entreprise,ses employés, ses partenaires, ses clients et ses contreparties. Le patrimoine informationneldes entreprisesest exposéà de nouvellesmenaces complexes et évolutives susceptibles d’impacter de manière significative,en termesfinanciercommeen termesde réputation, toutesles entrepriseset notamment les établissementsdu secteur bancaire. La professionnalisationdes organisationscriminelles à l’originedes cyber-attaquesa conduitles autoritésréglementaires et de supervisionà investir le champ de la gestion des risques InformationCommunicationet Technologie(ICT).La préventiondu risquede cybercriminalité revêtun caractèreprioritairepourNatixis et dans ce cadre elle s’efforce de mettre en œuvre les lignes directricesétabliespar ces autoritésau travers d’une coopération entre ses filières Systèmes d’Information (SI) et Sécurité des Systèmesd’Information (SSI) ce qui a conduità l’élaborationd’une cartographie des risques liés à la sécurité des systèmes d’informationainsi qu’à un vaste programmede sensibilisationde l’ensembledescollaborateurs enmatière deSSI. En 2018, aucun incident majeur lié à la cybercriminalité n’est survenuou n’a eu d’impactdéfavorablesignificatifsur la situation financièreou la réputationde Natixis. Toutefois,compte tenu de la nature évolutive et la sophistication des cyber-attaques, les mesures décrites ci-dessus pourraient ne pas être suffisantes à l’avenir pour protéger pleinement Natixis, ses employés, ses partenaires ou ses clients. La survenance de telles attaques pourrait perturber les services clients de Natixis, entraîner l’altérationou la divulgationde donnéesconfidentiellesou causer des interruptions d’activité et plus largement avoir un impact significatifdéfavorablesur son activité, sa situation financièreet sa réputation.

Une interruption ou défaillance des systèmes de communication et d’information de Natixis ou de tiers pourrait entraîner un manque à gagner et engendrer des pertes et des coûts Comme la plupart de ses concurrents, Natixis dépend étroitement de ses systèmes de communication et d’information,ses activités exigeant de traiter un grand nombre d’opérationsde plus en plus complexes(voir paragraphe3.2.8.5 du présent document de référence sur le dispositif de gestion des risques pour une description des systèmes de communicationet d’informationde Natixis). Bien que Natixis ait fait de la sécurité dans les échanges de données une priorité, toute panne, interruptionou défaillancede ses systèmes de communication et d’information pourrait entraîner des erreurs ou des interruptions au niveau des systèmesde gestion de la clientèle, de la comptabilitégénérale, des opérations notamment de dépôts ou du traitement des prêts, et/ou encore de la gestion des risques. Si, par exemple, Natixis connaissait un arrêt de ses systèmes d’information, même sur une courte période, elle pourrait ne pas être en mesure de répondre aux besoins de clients dans les délais et ainsi perdredes opportunitéscommerciales. Ainsi, toute panne, interruption ou défaillance des systèmes d’informationde Natixis, en dépit des systèmes de sauvegarde et des plans d’urgence mis en place, pourrait engendrer des coûts considérables liés, en particulier, à la récupération et la vérification d’information, ainsi qu’un manque à gagner ou des pertes financières sur ses activités courantes et ses opérations en portefeuille,liés par exemple,au non exerciced’une optionou au non dénouementd’une transactiontelle qu’une opération de couverture. Par ailleurs, l’incapacité des systèmes de communication et d’information de Natixis à s’adapter à un nombre croissant d’opérationspourrait également limiter sa capacité à développer ses activités. Enfin, Natixis est exposée au risque d’une rupture ou d’une défaillance opérationnelle de ses agents de compensation, marchés des changes, chambresde compensation,dépositaires ou autres intermédiaires financiers ou prestataires extérieurs qu’elle utilise pour réaliser ou faciliter ses opérations sur titres. Dans la mesure où l’interconnectivités’accroît avec ses clients, Natixis peut en outre être de plus en plus exposée au risque d’une défaillance opérationnelledes systèmes d’informationde ses clients. Natixis ne peut garantir que de telles interruptions ou défaillancesde ses systèmesde communicationet d’information ou de systèmes de tiers ne se produiront pas ou, si elles se produisent, qu’elles seront résolues de manière adéquate. La survenance d’un ou plusieurs événements décrits ci-dessus pourrait engendrer un manque à gagner, entraîner des coûts additionnelsainsi que des pertespour Natixis. Des événements imprévus peuvent provoquer une interruption des activités de Natixis et entraîner des pertes substantielles ainsi que des coûts supplémentaires Des événements imprévus tels qu’une catastrophe naturelle grave, une pandémie, des attentats ou toute autre situation d’urgence, pourraient provoquer une brusque interruption des activités de Natixis et entraînerdes pertes substantiellesdans la mesure où ils ne seraient pas, ou insuffisamment,couverts par une police d’assurance. Au 31 décembre 2018, 53,6 % des activités de Natixis ont été réalisées en France et de ce fait Natixis est davantage exposée aux risques liés à des évènementsqui pourraientse produiredans ce pays, tels que les catastrophes naturelles, les grèves, les manifestations ou les

112

Natixis Document de référence 2018