Risques géopolitiques
et risque opérationnel des banques
Une note Nexialog : cyberattaques étatiques, dépendance aux tiers, risques de non-conformité — comment les tensions géopolitiques pèsent sur la résilience opérationnelle des établissements bancaires et leurs exigences en fonds propres.
Un monde sous tensions : l'enjeu de résilience pour les banques
Entre la guerre russo-ukrainienne, les cyberattaques étatiques, la rivalité sino-américaine, les droits de douane et les instabilités au Moyen-Orient, le monde évolue dans un contexte de tensions géopolitiques structurelles. Ces tensions affectent la résilience des banques à travers le risque de crédit, le risque de marché, le risque de modèle d'activité, le risque de gouvernance et avant tout le risque opérationnel.
La BCE alerte : l'endettement public pourrait réduire la capacité des États à soutenir les banques en cas de crise, à l'instar des mesures prises durant le Covid-19. Dans sa publication du 18 novembre 2025 définissant ses priorités pour 2026-2028, la BCE place la résilience des banques face aux risques géopolitiques comme sa 1ère priorité majeure. Elle prévoit d'évaluer 110 banques sous sa supervision directe, représentant près de 75 % des actifs du système bancaire européen, sur leur capacité à résister aux chocs géopolitiques dans le cadre d'un stress test inversé.
« Les banques devront définir des scénarios géopolitiques pouvant conduire à une diminution d'au moins 300 points de base de leurs fonds propres de catégorie 1 (CET1). »
Communiqué de presse de la BCE — 12 décembre 2025
3 risques opérationnels au cœur des tensions géopolitiques
Les tensions géopolitiques dépassent le seul cadre macroéconomique. Elles exposent les banques à des risques opérationnels concrets, impactant leur continuité d'activité et leur résilience. Trois catégories principales se distinguent.
Les établissements bancaires sont des cibles stratégiques pour des cyberattaques souvent soutenues par des États. Ces offensives visent à perturber les infrastructures, collecter des informations sensibles ou exercer des pressions économiques, avec des pertes financières et des atteintes à la réputation à la clé.
Les banques dépendent fortement de prestataires externes (centres de services, fournisseurs IT, acteurs du cloud). Cette dépendance les expose aux restrictions d'accès aux ressources technologiques, limitations de marché ou indisponibilité de prestataires situés dans des zones géopolitiquement instables.
Les évolutions géopolitiques s'accompagnent de mises à jour fréquentes des cadres réglementaires : listes de sanctions, gels des avoirs, personnes politiquement exposées. Les banques s'exposent si leurs dispositifs de filtrage ne sont pas actualisés en continu.
Des incidents récents aux conséquences documentées
Ces risques ne sont pas théoriques. Plusieurs événements récents illustrent leur matérialisation et leurs effets en cascade sur la solvabilité des établissements.
-
01
La Banque Postale — DDoS pro-russe (déc. 2025 – jan. 2026) Le 22 décembre 2025, une attaque par déni de service distribué menée par des hackers pro-russes a rendu le site internet et l'application mobile indisponibles pendant plusieurs jours, affectant paiements, accès aux comptes et services clients. Une seconde attaque survenue le 1er janvier 2026 a de nouveau paralysé les services en ligne.
Risque cyber -
02
Jaguar Land Rover — Cyberattaque (août 2025) : 2,5 Md€ de pertes Le 31 août 2025, une cyberattaque a arrêté la production dans trois usines britanniques. Les ventes en gros ont chuté de 43 % au T3 2025. Selon le Cyber Monitoring Center, cet épisode est la cyberattaque « la plus dommageable financièrement jamais arrivée au Royaume-Uni », coûtant environ 1,9 Md£ (2,5 Md€) et perturbant plus de 5 000 organisations.
Risque cyber -
03
Détroit d'Ormuz — Tensions (depuis fév. 2026) Les tensions autour du détroit par lequel transite près de 20 % du pétrole mondial ont provoqué une hausse du prix de l'énergie, des perturbations dans les chaînes d'approvisionnement et des surcoûts logistiques, impactant directement les prestataires dont dépendent les banques.
Risques liés aux tiers -
04
19e paquet de sanctions contre la Russie (oct. 2025) 69 entités ajoutées aux gels d'avoirs, interdiction de transactions avec 5 banques russes, intégration de 45 entités de pays tiers impliquées dans le contournement. Un 20e paquet a été annoncé le 6 février 2026 par Ursula von der Leyen.
Non-conformité -
05
Citigroup & HSBC — Fermetures aux Émirats arabes unis (mars 2026) En raison du conflit opposant les États-Unis et Israël à l'Iran, ces fermetures alimentent le Loss Component : coûts de continuité d'activité, coûts RH et sécurité, pénalités contractuelles liées aux interruptions de services. Résultat : hausse du RWA opérationnel et pression à la baisse sur le CET1.
Risques liés aux tiers
De la perte opérationnelle à la pression sur les fonds propres
Les tensions géopolitiques ne sont pas seulement un risque de gestion : elles ont des implications directes sur le calcul des exigences de fonds propres et les attentes du superviseur.
Unique approche pour le calcul du capital réglementaire minimal, elle combine le Business Indicator (BI) fondé sur le compte de résultat et le Loss Component (LC) basé sur les pertes opérationnelles historiques sur 10 ans. Les superviseurs contrôleront la fiabilité du LC via des inspections sur site (OSI).
Les incidents opérationnels liés aux chocs géopolitiques augmentent les pertes, alimentent les RWA (Risk-Weighted Assets) et, à capital constant, exercent une pression à la baisse sur le ratio CET1, affaiblissant la solvabilité des établissements.
Les banques devront intégrer des tests de résistance inversés portant sur des scénarios géopolitiques dans leur ICAAP 2026 : identifier des situations extrêmes plausibles, mesurer les impacts et définir des mesures de prévention. Ces exercices enrichissent l'analyse qualitative SREP.
Le risque géopolitique, en tant que facteur externe, contribue directement à l'augmentation du risque opérationnel via les pertes observées — avec un effet mécanique sur les RWA et le ratio CET1.
Nexialog Consulting — Note Risques géopolitiques, Juin 2026
6 leviers pour renforcer la résilience face aux risques géopolitiques
Face à ces enjeux, Nexialog identifie six axes d'action permettant aux établissements bancaires de structurer leur réponse opérationnelle et prudentielle aux risques géopolitiques.
-
Cartographier les expositions géopolitiques. Évaluer précisément la criticité des expositions propres à chaque banque à partir de scénarios experts, afin de prioriser les dispositifs de contrôle : analyse des tiers, chaînes d'approvisionnement, risques de concentration, indicateurs dédiés.
-
Mobiliser l'intelligence artificielle pour la conformité. Les modèles de machine learning optimisent la détection des transactions à risque et réduisent les faux positifs. Couplés à des technologies NLP, ils facilitent l'intégration continue des mises à jour des listes de surveillance pour un filtrage toujours actualisé.
-
Renforcer l'analyse des pertes opérationnelles historiques. L'étude des incidents liés à des chocs géopolitiques alimente le Loss Component pour le calcul du RWA. Elle soulève la question de la capacité des données historiques à refléter des risques émergents à l'intersection des risques géopolitiques, cyber et liés à l'IA — un triptyque à quantifier conjointement.
-
Intégrer pleinement les risques cyber dans un contexte géopolitique, en cohérence avec le règlement européen Digital Operational Resilience Act (DORA), entré en application le 17 janvier 2025.
-
Répondre aux attentes des superviseurs via la mise en œuvre de reverse stress tests géopolitiques et l'application des exigences de capital prévues par CRR III / CRD VI, en application depuis le 1er janvier 2025.
-
Activer des leviers stratégiques : réallocation des investissements, adaptation des modèles opérationnels, diversification géographique, sécurisation des chaînes d'approvisionnement et renforcement des plans de continuité d'activité (sites de repli, diversifications géographiques, tests réguliers de résistance).
Sources et bibliographie
Cette note s'appuie sur les publications officielles de la BCE, du Comité de Bâle, du Conseil de l'UE ainsi que sur des sources de presse spécialisée et des données publiques d'entreprises.
Sources institutionnelles et réglementaires
- BCE — Supervision bancaire : Limiter les effets du risque géopolitique
- BCE — Priorités prudentielles pour 2026-2028 (18 novembre 2025)
- Banque de France — La BCE va évaluer la capacité des banques à intégrer le risque géopolitique dans leurs tests de résistance
- Commission européenne — L'UE adopte un 19e train de sanctions à l'encontre de la Russie (octobre 2025)
- ACPR — Résultats des tests de résistance 2025 menés par l'ABE et la BCE
Cas documentés et sources de presse
- La Banque Postale — Cyberattaque contre La Banque Postale (22 janvier 2026)
- L'Usine Digitale — Le piratage de Jaguar Land Rover aura coûté 2,19 milliards d'euros à l'économie britannique
- JLR — Q3 Sales Impacted by Cyber Incident (6 janvier 2026)
- Les Echos — Le détroit d'Ormuz, ce verrou contrôlé par l'Iran
- Boursorama — Citi maintient la fermeture de ses succursales aux Émirats arabes unis (16 mars 2026)
- La Tribune — L'UE dévoile un 20e paquet de sanctions contre Moscou (6 février 2026)
Vos banques sont-elles prêtes face aux chocs géopolitiques ?
Nos experts accompagnent les établissements bancaires dans la cartographie de leurs expositions, la mise en œuvre des reverse stress tests géopolitiques et le renforcement de leur dispositif de conformité.
