Retours d’expérience sur l’application de la réglementation cyber de la BCE

Le risque d&rsquo;une cyberattaque majeure est dans tous les esprits. Les banques, les infrastructures de march&eacute; et plus globalement les acteurs de Place sont-ils pr&eacute;par&eacute;s face &agrave; l&rsquo;augmentation exponentielle du nombre d&rsquo;incidents ? L&rsquo;Eurosyst&egrave;me a commenc&eacute; ses premi&egrave;res r&eacute;flexions assez t&ocirc;t, permettant la d&eacute;finition de r&eacute;f&eacute;rentiels de conformit&eacute; applicables d&rsquo;abord aux infrastructures de march&eacute;. Le bilan du d&eacute;ploiement est plut&ocirc;t positif, et les retours d&rsquo;exp&eacute;riences permettent d&rsquo;alimenter les r&eacute;flexions pour renforcer le dispositif au niveau de la Place. Gen&egrave;se D&egrave;s 2016, des r&eacute;flexions men&eacute;es au niveau de l&rsquo;Eurosyst&egrave;me ont abouti &agrave; la d&eacute;finition d&rsquo;une strat&eacute;gie pour &laquo; prot&eacute;ger le cœur et s&eacute;curiser l&rsquo;&eacute;cosyst&egrave;me [1] &raquo;, construite sur trois piliers : &ndash; la r&eacute;silience des infrastructures de march&eacute; , particuli&egrave;rement expos&eacute;es &agrave; une cyberattaque en raison de leur activit&eacute; syst&eacute;mique. Dans ce cadre, la BCE a d&eacute;fini deux r&eacute;f&eacute;rentiels : les Cyber Resilience Oversight Expectations (CROE) et les Threat Intelligence-Based Ethical Red teaming (TIBER - EU) ; &ndash; la r&eacute;silience de la Place : il s&rsquo;agit de pr&eacute;venir un effet de contagion en cas de cyberattaque. En juin 2017, sous l&rsquo;&eacute;gide de la BCE, des repr&eacute;sentants de haut niveau des infrastructures de march&eacute; et des autorit&eacute;s de surveillance se sont r&eacute;unis : leurs &eacute;changes ont donn&eacute; lieu &agrave; la cr&eacute;ation de l&rsquo;Euro Cyber Resilience Board (ECRB). Les objectifs [2] de ce forum sont de contribuer &agrave; la prise de conscience sur les risques de cyber-r&eacute;silience, d&rsquo;encourager le d&eacute;ploiement de solutions innovantes et de favoriser les partages d&rsquo;exp&eacute;riences ; &ndash; le dialogue avec et entre les acteurs de l&rsquo;&eacute;cosyst&egrave;me : &laquo; We are all victims et we have to address the cyber challenge together &raquo; a indiqu&eacute; un participant de l&rsquo;ECRB [3] . Deux r&eacute;f&eacute;rentiels avant-gardistes Sur la base de pr&eacute;conisations CPMI IOSCO [4] , la Banque Centrale Europ&eacute;enne a publi&eacute; en 2016 une premi&egrave;re version des CROE applicables aux infrastructures de march&eacute;. Une seconde version est publi&eacute;e en 2018. L&rsquo;objectif initial &eacute;tait de les rendre d&eacute;ployables &agrave; d&rsquo;autres g&eacute;ographies que celles de l&rsquo;Eurosyst&egrave;me et &agrave; d&rsquo;autres secteurs d&rsquo;activit&eacute; : un objectif atteint d&eacute;but 2020, avec l&rsquo;annonce par la Banque mondiale du d&eacute;ploiement des CROE sur le p&eacute;rim&egrave;tre de syst&egrave;mes de paiements de pays &eacute;mergents [5] . Les CROE (cyber r&eacute;silience)&hellip; Les CROE ont pour ambition de fournir : &ndash; les recommandations &agrave; mettre en œuvre par les infrastructures de march&eacute; ; &ndash; les pr&eacute;conisations &agrave; l&rsquo;encontre des autorit&eacute;s de surveillance ; &ndash; la d&eacute;finition d&rsquo;un socle de discussion entre les acteurs de l'&eacute;cosyst&egrave;me. Ils s&rsquo;appuient sur cinq piliers : la gouvernance, l&rsquo;identification des actifs &agrave; prot&eacute;ger (informations, processus, activit&eacute;s), la protection (moyens mis en œuvre pour d&eacute;tecter les menaces et les incidents), la d&eacute;tection, et la r&eacute;ponse &agrave; incident (dont le retour &agrave; la normale). Les infrastructures de march&eacute; doivent se conformer au niveau de maturit&eacute; interm&eacute;diaire, sur une &eacute;chelle qui en compte trois : &ndash; evolving : l&rsquo;organisation est en place. Elle permet de traiter les risques et incidents cyber, sous l&rsquo;impulsion du Conseil d&rsquo;administration ; &ndash; advancing : l&rsquo;entit&eacute; a recours &agrave; des outils avanc&eacute;s (comme l&rsquo;intelligence artificielle) ; &ndash; innovating : l&rsquo;entit&eacute; m&egrave;ne des actions innovantes au niveau de la gestion des ressources humaines, des technologies et des processus, en lien avec son &eacute;cosyst&egrave;me. &hellip;et TIBER (simulation de cyberattaques sophistiqu&eacute;es) Le r&eacute;f&eacute;rentiel TIBER d&eacute;finit le cadre pour la r&eacute;alisation d&rsquo;une simulation de cyberattaque sophistiqu&eacute;e affectant la r&eacute;silience d&rsquo;une infrastructure de march&eacute;. Il r&eacute;pond &agrave; plusieurs objectifs [6] : &ndash; am&eacute;liorer la cyber-r&eacute;silience des entit&eacute;s, en particulier dans le secteur financier ; &ndash; homog&eacute;n&eacute;iser et standardiser les modalit&eacute;s de collecte d&rsquo;information (CTI [7] ) en phase pr&eacute;paratoire d&rsquo;un test de cyberattaque. La possibilit&eacute; est donn&eacute;e aux membres de l&rsquo;Eurosyst&egrave;me de r&eacute;aliser une d&eacute;clinaison locale du r&eacute;f&eacute;rentiel : ainsi, l&rsquo;Allemagne, la Belgique, le Danemark et le Luxembourg notamment ont d&eacute;j&agrave; d&eacute;fini un cadre local ; &ndash; fournir un cadre aux autorit&eacute;s de surveillance pour d&eacute;ployer et g&eacute;rer ces types de tests au niveau local ou paneurop&eacute;en ; &ndash; favoriser la r&eacute;alisation de ces tests pour des entreprises expos&eacute;es &agrave; un contexte international (transfrontalier, multi-juridictionnel) ; &ndash; optimiser les relations entre autorit&eacute;s europ&eacute;ennes sur la base d&rsquo;&eacute;valuations r&eacute;alis&eacute;es selon le m&ecirc;me r&eacute;f&eacute;rentiel normatif ; &ndash; initier les modalit&eacute;s de partage d&rsquo;information entre autorit&eacute;s, et plus globalement, entre acteurs de Place. Une approche TIBER comprend trois &eacute;tapes &eacute;tal&eacute;es sur plusieurs mois : la pr&eacute;paration, la collecte d&rsquo;informations et la d&eacute;finition de sc&eacute;narios d&rsquo;attaques, et la phase d&rsquo;attaque impliquant des techniques d&rsquo;intrusion physique, d&rsquo;intrusion logique et d&rsquo;ing&eacute;nierie sociale. Elle implique plusieurs &eacute;quipes : &ndash; l&rsquo;entit&eacute; attaqu&eacute;e, et en particulier, l&rsquo;&eacute;quipe en charge de la d&eacute;tection et de la d&eacute;fense (blue team) ; &ndash; le prestataire en charge de la collecte d&rsquo;informations (CTI) ; &ndash; l&rsquo;&eacute;quipe d&rsquo;attaquants (red team), salari&eacute;s ou le plus souvent prestataires sp&eacute;cialis&eacute;s ; &ndash; le sponsor de l&rsquo;attaque (white team) qui, au sein de l&rsquo;entit&eacute; attaqu&eacute;e, est inform&eacute; du d&eacute;roulement de l&rsquo;attaque. Il est garant du respect du cadre TIBER et de la minimisation des impacts des attaques. Il est g&eacute;n&eacute;ralement d&rsquo;usage qu&rsquo;un repr&eacute;sentant d&rsquo;une autorit&eacute; de surveillance soit pr&eacute;sent au sein de cette &eacute;quipe. Bilan du d&eacute;ploiement : retours d&rsquo;exp&eacute;rience&hellip; Le d&eacute;ploiement des CROE et l&rsquo;adoption du cadre TIBER sont des opportunit&eacute;s pour am&eacute;liorer le dispositif de protection et de contr&ocirc;le en place. Nous pr&eacute;sentons ci-dessous quelques illustrations. En amont, le ma&icirc;tre-mot est l&rsquo;anticipation. &ndash; g&eacute;rer les risques : la cartographie des risques prend toute sa place dans le dispositif, puisqu&rsquo;elle irradie dans toutes les lignes de d&eacute;fense. Elle concourt pleinement &agrave; l&rsquo;anticipation. A titre d&rsquo;exemple, la prise en compte d&rsquo;une dimension futorologie permet l&rsquo;identification de risques non cot&eacute;s, mais &agrave; int&eacute;grer potentiellement dans les prochains mois (cas du risque de destruction massive identifi&eacute; tr&egrave;s t&ocirc;t par certaines entit&eacute;s, sans pour autant avoir &eacute;t&eacute; cot&eacute;) ; &ndash; identifier des sc&eacute;narios de d&eacute;sastre et les tester : en lien avec la cartographie des risques, la d&eacute;finition de sc&eacute;narios faisant l&rsquo;objet de tests r&eacute;guliers constitue une modalit&eacute; de renforcement de la maturit&eacute; du dispositif, avec comme objectif de se pr&eacute;munir contre les effets de contagion et les ph&eacute;nom&egrave;nes en cascade ; &ndash; limiter les risques de confusion entre exercice TIBER et attaque r&eacute;elle : un test TIBER est r&eacute;alis&eacute; le plus souvent sans que le management op&eacute;rationnel ne soit inform&eacute;, pour &eacute;prouver en conditions r&eacute;elles le dispositif. Toutefois, il est plus prudent d&rsquo;&eacute;viter une telle d&eacute;marche en p&eacute;riode de recrudescence de cyberattaques ; &ndash; dialoguer avec l&rsquo;&eacute;cosyst&egrave;me : c&rsquo;est l&rsquo;exigence des CROE la plus d&eacute;licate &agrave; mettre en œuvre, car elle n&eacute;cessite un dialogue expert (sur les incidents, les menaces, les tendances) avec le Surveillant, mais aussi avec des clients, des fournisseurs&hellip; et des concurrents. La grande valeur des CROE est de permettre d&rsquo;adopter une approche commune et donc d&rsquo;&eacute;viter toute difficult&eacute; d&rsquo;incompr&eacute;hension ou d&rsquo;interpr&eacute;tation entre acteurs [8] . La phase de bilan de TIBER s&rsquo;inscrit &eacute;galement dans une d&eacute;marche de partage d&rsquo;information et d&rsquo;am&eacute;lioration continue. La capitalisation entre acteurs est en effet primordiale. L&rsquo;exercice de retour d&rsquo;exp&eacute;rience permet ainsi d&rsquo;associer attaquants, d&eacute;fenseurs et observateurs, pour un b&eacute;n&eacute;fice commun. &hellip;et identification des risques Dans ce cadre, certains risques prennent un nouvel &eacute;clairage : &ndash; le d&eacute;tournement de finalit&eacute; des r&eacute;seaux sociaux : lors de la phase pr&eacute;paratoire de TIBER, la collecte d&rsquo;informations est critique pour l&rsquo;&eacute;quipe d&rsquo;attaquants. Les r&eacute;seaux sociaux mettent &agrave; disposition toutes les informations utiles aux attaquants : organigrammes, cercles de connaissances (utiles pour des sc&eacute;narios ayant recours &agrave; l&rsquo;usurpation d&rsquo;identit&eacute; ou &agrave; du phishing), logiciels utilis&eacute;s et leurs versions en production, adresses des locaux (dont les data centers), budgets d&rsquo;entit&eacute;&hellip; Il devient donc n&eacute;cessaire de sensibiliser les collaborateurs &agrave; l&rsquo;usage qu&rsquo;ils peuvent faire des donn&eacute;es professionnelles post&eacute;es sur ces plateformes &agrave; des fins d&rsquo;&eacute;volution professionnelle ou de promotion commerciale. Le juste milieu n&rsquo;est pas facile &agrave; d&eacute;finir ; &ndash; la prise de d&eacute;cision sur la base d&rsquo;information insuffisante : l&rsquo;information relative aux menaces prend une autre dimension dans un cadre syst&eacute;mique. Elle conditionne la prise de d&eacute;cision en situation de pr&eacute;crise et de crise (concepts d&rsquo;anti-information [9] et de s&eacute;lection adverse [10] ). La crise li&eacute;e au COVID a confirm&eacute; une nouvelle fois l&rsquo;importance du Groupe de Place Robustesse. Une telle approche pourrait &ecirc;tre &eacute;tendue &agrave; des aspects relatifs &agrave; la cybers&eacute;curit&eacute; (&eacute;change sur les menaces, les incidents et les risques) ; &ndash; la gestion d&eacute;corr&eacute;l&eacute;e de la s&eacute;curit&eacute; logique et de la s&eacute;curit&eacute; physiqu e : historiquement tr&egrave;s &eacute;loign&eacute;s, ces deux risques connaissent une nouvelle ampleur, &agrave; l&rsquo;occasion d&rsquo;incidents r&eacute;cents combinant intrusion physique et intrusion logique. Ces types d&rsquo;attaques sont couramment utilis&eacute;s dans le cadre des exercices TIBER. Ils requi&egrave;rent cependant la d&eacute;finition en amont d&rsquo;un cadre particulier pour les &eacute;quipes en charge de ces tests. Et demain ? D&eacute;finir les modalit&eacute;s de partage de l&rsquo;information et d&eacute;velopper une culture commune entre acteurs de la Place restent les principaux axes d&rsquo;am&eacute;lioration. &Agrave; ce titre, plusieurs initiatives ont d&eacute;j&agrave; &eacute;t&eacute; lanc&eacute;es : &ndash; lancement d&rsquo;un CTI paneurop&eacute;e n [11] sous l&rsquo;&eacute;gide de la Banque Centrale Europ&eacute;enne. Il a pour vocation de disposer d&rsquo;une base commune de menaces. Cette d&eacute;marche pourrait &ecirc;tre &eacute;tendue &agrave; un Security Operation Center national ou supranational ; &ndash; tests de cyberattaques multisectoriels : certaines infrastructures de march&eacute; ont d&eacute;j&agrave; r&eacute;alis&eacute; des tests impliquant des red teams du secteur de l&rsquo;&eacute;nergie par exemple. Cette approche est compl&eacute;mentaire des tests de Place (comme le test G7 de juin 2019) ; &ndash; renforcement de la notion d&rsquo;&laquo; op&eacute;rateurs supercritiques &raquo; [12] . Cette cat&eacute;gorisation doit &ecirc;tre consid&eacute;r&eacute;e au niveau de la Place, et non pas seulement au niveau de chaque entit&eacute;. La r&eacute;alisation d&rsquo;audits de Place de ces fournisseurs est une des bonnes pratiques &agrave; g&eacute;n&eacute;raliser ; &ndash; le recours &agrave; l&rsquo;intelligence artificielle (d&eacute;j&agrave; adopt&eacute;e par les cybercriminels) : plusieurs solutions logicielles sont d&eacute;j&agrave; disponibles. Citons la d&eacute;tection d&rsquo;intrusion r&eacute;seau, de malware, de virus (notamment via les EDR [13] ) ou de fraude. Le recours &agrave; l&rsquo;intelligence artificielle n&eacute;cessite &eacute;galement une mont&eacute;e en comp&eacute;tence des acteurs des lignes de d&eacute;fense (audits internes, gestionnaires de risques, contr&ocirc;leurs permanents&hellip;) ; &ndash; la volont&eacute; de r&eacute;duire le nombre de r&eacute;f&eacute;rentiels relatifs &agrave; la cybers&eacute;curit&eacute; : les zones de recouvrement se multiplient entre r&eacute;f&eacute;rentiels, avec des impacts humains, organisationnels et financiers non n&eacute;gligeables (en termes de maintien et de veille). &Agrave; titre d&rsquo;exemple, les r&eacute;f&eacute;rentiels suivants disposent tous d&rsquo;un volet commun avec les CROE : PCI DSS (gouvernance, gestion des actifs, r&eacute;ponse &agrave; incident hors forensic&hellip;), ISO 22301 (continuit&eacute; d&rsquo;activit&eacute;), ISO 27001 (s&eacute;curit&eacute; de l&rsquo;information), directive NIS (gouvernance, gestion des fournisseurs critiques) [14] , r&eacute;glementations fran&ccedil;aises relatives aux Op&eacute;rateurs d&rsquo;Importance Vitale&hellip; Dans ce contexte, des r&eacute;flexions sont en cours &agrave; l&rsquo;&eacute;chelle europ&eacute;enne pour proposer un r&eacute;f&eacute;rentiel commun de cybers&eacute;curit&eacute; [15] . L&rsquo;enjeu de la souverainet&eacute; num&eacute;rique En conclusion, les r&eacute;f&eacute;rentiels CROE et TIBER ont permis de poser des fondations pour les infrastructures de march&eacute; et la Place, r&eacute;pondant aux enjeux initiaux de cybers&eacute;curit&eacute; et de r&eacute;silience. Les pistes de progr&egrave;s sont connues, mais restent &agrave; affermir, notamment en termes d&rsquo;interactions au sein de l&rsquo;&eacute;cosyst&egrave;me, soumis par ailleurs &agrave; des aspects de concurrence commerciale entre acteurs. Les efforts doivent &eacute;galement porter sur les trois composantes de la cybers&eacute;curit&eacute; : des processus communs (cat&eacute;gorisation unique des menaces), des ressources form&eacute;es (management et collaborateurs) et des technologies &eacute;prouv&eacute;es (intelligence artificielle). Ceci, afin de contribuer &agrave; la souverainet&eacute; num&eacute;rique, enjeu de taille dans le contexte g&eacute;opolitique actuel. 1 Benoit Cœur&eacute;, &laquo; Cybersecurity: Coordinating Efforts to Protect the Financial Sector in the Global Economy &raquo;, G7 Conference, 10 mai 2019. 2 &laquo; Euro Cyber Resilience Board for pan-European Financial Infrastructures &raquo; : https://www.ecb.europa.eu/paym/groups/euro-cyber-board/html/index.en.html. 3 &laquo; Cyber resilience as a global public good &raquo;, Benoit Cœur&eacute;, op. cit. : https://www.ecb.europa.eu/press/key/date/2019/html/ecb.sp190510_2~2e988cb439.en.html. 4 CPMI-IOSCO, &laquo; Guidance on cyber resilience for financial market infrastructures (Guidance) &raquo;, juin 2016. 5 BCE, &laquo; World Bank adopts ECB&rsquo;s cyber resilience oversight expectations &raquo;, 6 janvier 2020 : https://www.ecb.europa.eu/paym/intro/news/html/ecb.mipnews200106.en.html#:~:text=The%20World%20Bank%20has%20adopted,Inclusion%20Global%20Initiative%20(FIGI).&amp;text=This%20partnership%20will%20allow%20the,of%20the%20global%20financial%20system. 6 TIBER-EU framework, mai 2018. 7 Cyber Threat Intelligence. 8 La Revue strat&eacute;gique de cyberd&eacute;fense (15 mars 2018, SGDSN) apporte plusieurs d&eacute;veloppements sur les difficult&eacute;s li&eacute;es &agrave; la coexistence de plusieurs types de classement des incidents, des menaces et des attaques. 9 L&rsquo;anti-information qualifie, lors d'un &eacute;change entre des acteurs, le fait que certains disposent d'informations pertinentes que d'autres n'ont pas, ce qui peut avoir un effet sur l&rsquo;&eacute;change. 10 La s&eacute;lection adverse se manifeste par la difficult&eacute; pour un acteur d&rsquo;appr&eacute;hender une situation, ce qui l&rsquo;am&egrave;ne &agrave; prendre une d&eacute;cision qui s&rsquo;av&egrave;rera finalement contraire &agrave; l&rsquo;effet initialement recherch&eacute;. Elle est le r&eacute;sultat d&rsquo;une information imparfaite (anti-information). 11 Major European financial infrastructures join forces against cyber threats, communiqu&eacute; de presse de la Banque Centrale Europ&eacute;enne, 27 f&eacute;vrier 2020. 12 Revue strat&eacute;gique de cyberd&eacute;fense, op. cit. 13 Endpoint Detection and Response. 14 Union europ&eacute;enne, Network and Information System Security, juillet 2016. 15 Consultative workshop with European industry associations and national critical infrastructure operators regarding the protection and resilience of critical infrastructures in the EU, 30 juin 2020.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Cybersécurité

Retours d’expérience sur l’application de la réglementation cyber de la BCE

À retrouver dans la revue

Banque de détail

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Blockchain/Cryptoactifs

Les garanties bancaires
sont d’excellents cas d’usage

Banque de financement et d'investissement (BFI)

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »

Paiements

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Cybersécurité

Retours d’expérience sur l’application de la réglementation cyber de la BCE

À retrouver dans la revue

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Les garanties bancaires sont d’excellents cas d’usage

« Paris est le centre de gravité pour tous les instruments financiers traités en euros »

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Panorama réglementaire des actifs numériques

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Les garanties bancaires
sont d’excellents cas d’usage

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »