Document d enregistrement universel et rapport financier annuel 2021 - BNP PARIBAS312

5 risques et adéquation des fonds ProPres Pilier 3

5

Synthèse des risques annuels

2.1 Les politiques, procédures et méthodes de gestion du risque mises en œuvre par le Groupe BNP Paribas pourraient l exposer à des risques non identifiés ou imprévus, susceptibles d occasionner des pertes significatives.

Le Groupe BNP Paribas a investi des ressources substantielles pour élaborer des politiques, procédures et méthodes de gestion du risque et entend poursuivre ses efforts en la matière. Pour autant, les techniques et stratégies utilisées ne permettent pas de garantir une diminution effective du risque dans tous les environnements économiques et de marché. Ces techniques et stratégies pourraient également s avérer inopérantes face à certains risques, en particulier ceux que le Groupe BNP Paribas n aurait pas préalablement identifiés ou anticipés. Le Groupe BNP Paribas pourrait avoir des difficultés à évaluer la solvabilité de ses clients ou la valeur de ses actifs si, en raison des perturbations sur les marchés telles que celles qui ont prévalu ces dernières années, les modèles et les approches utilisés ne permettaient plus d anticiper les comportements, les évaluations, les hypothèses et les estimations futures. Certains des indicateurs et outils qualitatifs que le Groupe BNP Paribas utilise pour gérer le risque s appuient sur des observations du comportement passé du marché. Pour quantifier son exposition au risque, le Groupe BNP Paribas procède ensuite à une analyse, généralement statistique, de ces observations. Les procédures utilisées par le Groupe BNP Paribas pour évaluer les pertes liées à son exposition au risque de crédit ou la valeur de certains actifs sont fondées sur des analyses complexes et subjectives qui reposent notamment sur des prévisions concernant les conditions économiques et l impact que pourraient avoir ces conditions sur la capacité de remboursement des emprunteurs et la valeur des actifs. En période de perturbation sur les marchés ou, plus largement, de fortes incertitudes, de telles analyses pourraient aboutir à des estimations inexactes et en conséquence mettre en cause la fiabilité de ces procédures d évaluation. Les outils et indicateurs utilisés pourraient livrer des conclusions erronées quant à la future exposition au risque, en raison notamment de facteurs que le Groupe BNP Paribas n aurait pas anticipés ou correctement évalués dans ses modèles statistiques, ou de la réalisation d un événement considéré comme extrêmement improbable par les outils et les indicateurs. Cela diminuerait la capacité du Groupe BNP Paribas à gérer ses risques. En conséquence, les pertes subies pourraient s avérer nettement supérieures à la moyenne historique. Par ailleurs, les modèles quantitatifs du Groupe BNP Paribas n intègrent pas l ensemble des risques. Certains risques font en effet l objet d une analyse plus qualitative qui pourrait s avérer insuffisante et exposer ainsi le Groupe BNP Paribas à des pertes significatives et imprévues.

2.2 Toute interruption ou défaillance des systèmes informatiques du Groupe BNP Paribas pourrait provoquer des pertes significatives d informations relatives aux clients, nuire à la réputation du Groupe BNP Paribas et provoquer des pertes financières.

Comme la plupart de ses concurrents, le Groupe BNP Paribas dépend étroitement des systèmes de communication et d information. Cette dépendance s accroît depuis la généralisation des services bancaires mobiles et de banque en ligne, et du développement du cloud computing, et plus généralement l utilisation de nouvelles technologies. Toute panne, interruption ou défaillance de la sécurité de ces systèmes pourrait entraîner des erreurs ou des interruptions au niveau des systèmes de

gestion de la clientèle, de comptabilité générale, de dépôts, de services et/ ou de traitement des prêts ou conduire le Groupe BNP Paribas à engager des coûts significatifs pour la récupération des données perdues et leur vérification. Le Groupe BNP Paribas ne peut garantir que de telles pannes ou interruptions ne se produiront pas ou, si elles se produisent, qu elles seront résolues de manière adéquate.

Par ailleurs, le Groupe BNP Paribas est soumis au cyberrisque, c est-à- dire le risque causé par un acte malveillant et/ou frauduleux, commis virtuellement, avec pour intention de manipuler des informations (données confidentielles, bancaires/assurantielles, techniques ou stratégiques), processus et utilisateurs, dans le but de causer des pertes matérielles aux sociétés, employés, partenaires et clients du Groupe BNP Paribas et/ou aux fins d extorsion (rançongiciel). Au cours des dernières années, un nombre croissant de sociétés (y compris des institutions financières) ont fait l objet d intrusions ou de tentatives d intrusion de leurs systèmes de sécurité informatique, parfois dans le cadre d attaques complexes et hautement ciblées des réseaux informatiques. Les techniques mises en œuvre pour pirater, interrompre, dégrader la qualité des services fournis, dérober des données confidentielles ou saboter des systèmes informatiques se sont perfectionnées et sont en constante évolution, et il est souvent impossible de les identifier avant le lancement d une attaque. Le Groupe BNP Paribas et ses prestataires de services tiers pourraient donc ne pas être en mesure de se prémunir contre de telles techniques ou de mettre en place rapidement un système de contre- mesures approprié et efficace. Toute panne ou interruption des services informatiques du Groupe BNP Paribas ou de ceux de ses prestataires de services tiers et toute divulgation d informations confidentielles des clients, contreparties ou salariés du Groupe BNP Paribas (ou toutes autres personnes) qui pourrait en résulter, ou toute intrusion ou attaque contre ses systèmes et réseaux de communication, pourraient causer des pertes significatives et seraient susceptibles d avoir un effet défavorable sur la réputation, les résultats opérationnels et la situation financière du Groupe BNP Paribas. Les autorités de régulation estiment aujourd hui que la cybersécurité constitue un risque systémique croissant pour le secteur financier. Elles ont souligné la nécessité pour les institutions financières d améliorer leur résilience face aux cyberattaques en renforçant les procédures internes de surveillance et de contrôle informatique. Une cyberattaque réussie pourrait donc exposer le Groupe à une amende des autorités de régulation, en particulier en cas de perte de données personnelles des clients.

Enfin, le Groupe BNP Paribas est exposé au risque de dysfonctionnement opérationnel ou d interruption d un agent compensateur, de marchés étrangers, de chambres de compensation, de banques dépositaires ou de tout autre intermédiaire financier ou prestataire externe de service auxquels le Groupe BNP Paribas a recours pour exécuter ou faciliter des transactions portant sur les titres financiers. En raison de son interconnexion grandissante avec les clients, le Groupe BNP Paribas pourrait également augmenter son exposition au risque de dysfonctionnement opérationnel des systèmes d information de ces derniers. Les communications du Groupe BNP Paribas, les systèmes de données et ceux de ses clients, ceux de ses prestataires de services et contreparties, peuvent aussi être sujets à des dysfonctionnements ou interruptions en conséquence de cybercrime ou cyberterrorisme ; le Groupe BNP Paribas ne peut pas garantir que ces dysfonctionnements ou interruptions de ses propres systèmes ou ceux d autres parties ne surviendront pas ou qu en cas de survenance, ces dysfonctionnements ou interruptions seront résolus adéquatement. Ces dysfonctionnements opérationnels ou interruptions ont représenté sur la période 2013-2021, en moyenne, 3 % des pertes liées au risque opérationnel.