NATIXIS_PILLIER-III_2017

GESTION DES RISQUES Typologie des risques

mis en place, et travaille en liaison directe avec la Computer EmergencyResponseTeam (CERT)du GroupeBPCE. Au sein de la direction de la Compliance, l’équipe « Risks and Controls » du département Sécurité du Système d’Information, intervient en seconde ligne de défense. Elle évalue le risque porté par chaque entité. Elle accompagne notamment chaque initiative des métiers pour s’assurer que les exigences de sécuritésont bienmisesen œuvre. Natixis a également engagé une refonte de son modèle de sécurité informatique à l’horizon 2020. Il vise à adapter le dispositif de sécurité en fonction du contexte, de renforcer la protection de nos actifs les plus sensibles et d’améliorer la capacitéde détectiondu SOC. Le risque de réputation Le risque de réputationest le risque d’atteinteà la confianceque portent à l’entreprise, ses clients, ses contreparties, ses fournisseurs,ses collaborateurs, ses actionnaires,ses superviseurs ou toutautretiersdontla confiance,à quelquetitreque ce soit,est uneconditionnécessaireà la poursuitenormalede l’activité. Le risque de réputationest essentiellementun risque contingent à tous les autresrisquesencouruspar la banque. Le risque juridique Le risque juridique est défini dans la règlementation française commele risquede tout litige avec une contrepartie,résultantde toute imprécision, lacune ou insuffisance susceptible d’être imputableà l’entrepriseau titre de ses opérations. Autres risques Le risquelié auxactivitésd’assurance  : le risqueassuranceest le risque que fait peser sur les bénéfices tout décalage entre les sinistres prévus et les sinistres survenus. Selon les produits d’assuranceconcernés, le risquevarieen fonctionde l’évolutionde facteursmacroéconomiques, des changementsde comportement de la clientèle,de l’évolutionde la politiquede santépublique,des pandémies,des accidentset des catastrophesnaturelles(tels que les tremblementsde terre,les accidentsindustrielsou les actesde terrorismeou de guerre). Le risque stratégique est le risque inhérent à la stratégie choisie ou résultantde l’incapacitéde Natixis à mettre en œuvre sa stratégie. Le risque climatique  est lié à la vulnérabilité accrue des entreprises par rapport aux variations des indices climatiques (température,précipitations,vent, neige…). Les risques environnementaux et sociaux découlent des opérationsdes clients et des entreprisesdans lesquellesNatixis investit.

Le risque de liquidité Le risque de liquiditéest le risque que Natixis ne puisse pas faire face à ses engagementsvis-à-vis de ses créanciersen raison de l’inadéquation entre la durée des emplois et celle des ressources.Ce risque se réalise, par exemple,en cas de retraits massifsdes dépôtsde la clientèleou d’une crise de confianceou de liquidité générale du marché. En tant que banque de financementet d’investissement,ce risque pour Natixis résulte principalementde positions de transformationentre opérations assorties d’une échéance contractuelle, Natixis disposant de moins de ressources clientèle stables et pérennes que les banquesde « retail »et se refinançanten partie sur les marchés. Le risque de change structurel Le risque de change structurel se définit comme le risque de perte en capitaux propres recyclables engendré par un mouvementadverse des parités de change contre la devise de reporting de consolidation en raison de l’inadéquation entre la devise des investissementsnets refinancéspar achat de devise et celle des capitauxpropres. Le risque de change structurel de Natixis concerne très majoritairementles positionsstructurellesen dollar américaindu fait de la présence dans son périmètre de consolidation de succursaleset de filialesà l’étrangerdotéesdans cette devise. Le risque de non-conformité Le risque de non-conformité est défini dans la règlementation française comme le risque de sanction judiciaire, administrative ou disciplinaire, assorti de pertes financières significatives ou d’atteinte à la réputation, qui naissent du non-respect de dispositions propres aux activités bancaires et financières, qu’elles soient de nature législativeou règlementaire,nationales ou européennes directement applicables ou qu’il s’agisse de normes professionnelles et déontologiques, ou d’instructions des dirigeants effectifs prises, notamment, en application des orientationsde l’organe de surveillance.Par définition, ce risque est un sous-ensembledu risqueopérationnel. Cyber risque La disponibilité du système d’information, la garantie de l’intégrité et de la confidentialité des données ainsi que de la traçabilité de chaque opération, conditionnent la capacité de Natixisà exercerses activités. La transformation des systèmes d’information bancaires - qui font intervenirde nouvellestechnologiesou recourentà une part croissante de services externalisés - offre de nouvelles opportunités aux cybercriminels, qui tentent des attaques de plus en plus sophistiquéeset industrialisées.Pour y faire face, Natixis a réorganisé ses services en charge de la sécurité informatique. Un Security Operating Center (SOC) Cyber a été

2

17

NATIXIS Rapport sur les risques Pilier III 2017