Les évolutions technologiques et la numérisation accélérée des processus et des transactions depuis les années 2000 ont augmenté la dépendance des économies développées aux nouvelles technologies. Dans ce contexte, comme l’ont démontré des attaques WannaCry et NotPetya en 2017, l’exposition des acteurs économiques à des actions malveillantes de grande ampleur s’est considérablement accrue ces dernières années. En raison de son objet même, à savoir la gestion des flux financiers et le financement de l’économie, le secteur bancaire est particulièrement exposé à des actes de cybermalveillance (voir Schéma).
Ce risque a changé de nature ces dernières années à plusieurs points de vue. En premier lieu, la sophistication la fréquence et l’ampleur des attaques se sont accrues (300 000 ordinateurs touchés par l’attaque Wannacry en mai 2017). Surtout, le risque de propagation des attaques se trouve augmenté en raison de l’interconnexion des acteurs et, en conséquence, de la dépendance des banques aux systèmes d’information d’acteurs extérieurs : pairs, sous-traitants, clients, fournisseurs, opérateurs (télécom et data centers), FinTechs, contreparties, infrastructures de marché, systèmes de paiement ou de règlement/livraison, etc., de sorte que le caractère potentiellement systémique du cyber-risque est de plus en plus avéré.
L’évolution des attaques
Prenons la mesure de cette évolution : naguère encore, pour un établissement bancaire traditionnel, les attaques malveillantes concernaient dans de nombreux cas le domaine physique (transports de fonds, guichets, distributeurs automatiques, etc.). Elles étaient considérées comme une catégorie d’événement générateur de risque opérationnel (risque de dommage aux actifs physiques), tout comme d’ailleurs le risque informatique, essentiellement appréhendé sous l’angle de la défaillance accidentelle (risque de panne ou d’incident système).
L’arrêté du 3 novembre 2014 relatif au contrôle interne des établissements de crédit et des entreprises d’investissement ne définit pas spécifiquement le risque IT et encore moins le risque cyber. Les dommages aux systèmes sont définis comme une catégorie de risque opérationnel ; à ce titre, ils doivent être cartographiés et quantifiés sur l’ensemble des processus de la banque, selon la méthodologie définie pour tout autre risque opérationnel.
Mais cette conception du risque cyber comme une sous-catégorie du risque opérationnel est aujourd’hui obsolète. Le terrain des attaques s’est déplacé du domaine physique au domaine virtuel dans un contexte de montée en puissance des transactions électroniques, d’interconnexion croissante des systèmes et d’apparition de nouveaux terrains propices aux attaques (cryptomonnaies par exemple). La cybercriminalité constitue désormais un phénomène d’un genre nouveau qui mérite d’être appréhendé en tant que tel, et que les régulateurs prennent désormais spécifiquement en compte.
La prise en compte par les superviseurs
En effet, dans le cadre de leur objectif de maintien de la stabilité financière, les régulateurs sont engagés dans un processus de formalisation de leurs attentes en termes de gouvernance du risque cyber, que ce soit à l’échelon international, européen ou national.
Au niveau international, une étude du Comité de Bâle a mis en exergue les juridictions les plus avancées dans la supervision du risque « cyber ». Sans surprise, l’étude cite notamment États-Unis et certaines juridictions asiatiques (Hong Kong, Singapour). Par exemple, aux États-Unis, la réglementation « Reg SCI » (Systems Compliance & Integrity) impose aux établissements régulés par la SEC des obligations spécifiques inhérentes à la cybersécurité, avec une logique identique à l’appréhension des risques financiers : revue du risk appetite par le Board, revue indépendante des systèmes, obligations liées à la gouvernance du risque IT, etc. Quant à la CFTC, elle impose une revue périodique approfondie des contrôles sur les systèmes d’information de l’établissement.
Le superviseur européen travaille également à une meilleure prise en compte du risque cyber, comme en témoignent les orientations de l’ABE (Autorité Bancaire Européenne) de mai 2017 (voir Tableau).
En la matière, les superviseurs bancaires se réfèrent explicitement à des standards externes édictés par les agences spécialisées dans la sécurité informatique, avec lesquelles ils coopèrent de plus en plus. Ainsi, au niveau français, l’ACPR et l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) ont annoncé en janvier 2018 la signature d’un accord prévoyant un échange régulier d’informations en matière d’incidents affectant la sécurité des systèmes d’information.
Enfin, les superviseurs intègrent les risques de cybersécurité dans l’exercice de leurs missions de contrôle sur place. Ainsi, l’ACPR s’est dotée d’équipes spécialisées dans ce domaine et mène elle-même, entre autres, des campagnes d’intrusion (penetration tests) pour tester la robustesse des systèmes des établissements audités. De plus, l’ACPR et l’ANSSI ont récemment mené un exercice de gestion de crise cyber avec les principaux acteurs financiers concernés.
Adapter le dispositif interne de gestion des risques
Par sa vitesse de propagation dans un ensemble interconnecté et globalisé, le risque « cyber » est par définition systémique. Pour un établissement bancaire, il est donc particulièrement urgent d’adapter son dispositif interne de gestion des risques de façon à intégrer le risque cyber. Pour ce faire, le cadre prudentiel est, dans ses grands principes, déjà en place ; il ne reste donc plus aux banques qu’à décliner les principes de gestion des risques bancaires sur le risque cyber, tout en intégrant ses spécificités.
En premier lieu, le senior management doit se montrer moteur dans la mise en œuvre, au sein de l’établissement, d’une véritable politique de gouvernance des risques cyber en cohérence avec le dispositif de gestion des risques financiers. Le suivi des risques incombant à la fonction de gestion des risques, il conviendra également d’évaluer l’opportunité de placer le RSSI sous une double ligne de reporting : vers le DSI et vers le directeur des risques.
En second lieu, comme le soulignent les orientations de l’EBA, il faut intégrer les risques IT et cyber dans le « Pilier 2 » et donc dans l’ICAAP (exercice annuel de quantification des risques et d’évaluation de l’adéquation de leur couverture par les fonds propres). Cela implique :
– la définition de scénarios de crise sur le risque cyber (cyberattaque sur les systèmes névralgiques de la banque, p.ex.) ;
– la quantification de ces scénarios et des pertes potentielles induites (arrêt des systèmes pendant le temps nécessaire au rétablissement, remplacement des serveurs/machines endommagés, dédommagement des clients/contreparties…) ;
– l’allocation spécifique d’une quote-part des fonds propres à la couverture du risque cyber.
Troisièmement, il convient d’établir un plan de continuité et de reprise de service (Disaster Recovery Plan) en cas de scénario de cyberattaque. Ce plan présente des spécificités par rapport au plan de continuité d’activité (PCA). En effet, le PCA prend en compte le risque de panne ou d’événement extérieur (catastrophe naturelle, terrorisme, etc.) mais n’intègre pas toujours le risque de cyberattaque. Or, les solutions pour assurer la continuité d’activité dans ce dernier cas ne sont pas nécessairement les mêmes.
L’ICAAP et le Disaster Recovery Plan doivent permettre d’évaluer le niveau de risque acceptable pour l’établissement sur ses différents systèmes. Il conviendra évidemment d’assurer un niveau de protection et de résilience accru pour les systèmes les plus critiques. Une cartographie détaillée des applications critiques et des contrôles spécifiques exercés sur ces applications en constitue l’outil indispensable.
Le quatrième axe de travail consiste à renforcer les équipes de contrôle interne en les dotant de compétences spécifiques en matière de cybersécurité. Si cela est de plus en plus fréquent au sein du contrôle périodique, avec des équipes spécialisées dans les fonctions d’audit ou d’inspection, c’est en revanche beaucoup moins le cas pour la fonction de contrôle permanent en tant que « seconde ligne de défense », les contrôles sur les systèmes étant le plus souvent positionnés au sein de la direction des systèmes d’information.
Une politique systématique de sécurisation
Enfin, il convient de mener une politique systématique de sécurisation des S.I. selon plusieurs axes recommandés par l’ACPR et l’annexe de l’arrêté OIV « finances
Les mesures, obligatoires ou recommandées, ont pour objectif ultime d’assurer un niveau de résilience élevé des opérateurs financiers. Il faut néanmoins constater qu’il y a loin de la coupe aux lèvres et, que si le travail entrepris par les régulateurs est à souligner, la réponse des opérateurs est le plus souvent insuffisante parce que la dimension « cyber » reste encore peu comprise et essentiellement appréhendée sous un angle technique, très abscons pour les Comités de direction.
Plusieurs points méritent d’être pris en compte avec plus de rigueur : le dimensionnement des capacités ainsi que le contrôle des fournisseurs de télécommunications et d’hébergement de services et de données. Le dimensionnement capacitaire ne peut uniquement se faire sur la base de statistiques passées majorées, moyennées ou pondérées. Il doit se définir sur la base de scénarios intégrant les tiers nécessaires au fonctionnement du service rendu, leurs contraintes capacitaires et aptitude à faire face à une crise cyber. Les exercices de crise doivent refléter cette réalité.
Les fournisseurs, bien que contractuellement tenus par des
Un avantage compétitif
Pour conclure, le renforcement de la sécurité du système bancaire face aux phénomènes de cybercriminalité incombe à chaque établissement, sous le contrôle du superviseur et dans le cadre du processus de surveillance prudentielle (Pilier 2). Non seulement ce renforcement prémunira l’ensemble du secteur contre un risque de dimension systémique, mais les investissements induits pourraient se révéler payants en termes d’avantage compétitif. En effet, il y a fort à parier que les établissements qui auront le mieux anticipé ce risque seront les mieux préparés à la prochaine crise bancaire.