La France assure cette année la présidence du G7, qui a fait de la lutte contre le cyber-risque l'une de ses priorités. Quel est le rôle de la Banque de France dans cette présidence ?
Dans le cadre du G7, de nombreuses discussions sont liées aux questions financières, de la lutte contre le terrorisme au fonctionnement du système financier. Ces sujets sont portés par les ministères de l’Économie et des Finances et les gouverneurs de banque centrale. Il est donc naturel que la Banque de France participe aux travaux importants du G7 en fonction des sujets. Sur le risque cyber, nous avons un rôle prééminent.
Quel est le rôle de la Banque de France en matière de cybersécurité ?
La Banque de France est concernée à plusieurs titres. Le Code monétaire et financier nous confie une mission de surveillance des systèmes de paiement, infrastructures de marché et moyens de paiement. Nous veillons donc au bon fonctionnement et à la sécurité de ces systèmes. Nous avons également une responsabilité au titre de la mission de stabilité financière et devons de ce fait nous assurer que les systèmes informatiques sont résilients. Enfin, l’ACPR s’occupe de la supervision et de la résilience des établissements financiers eux-mêmes. La cybersécurité fait donc partie intégrante des sujets quotidiens que nous traitons dans le cadre de nos missions.
Un exercice de gestion de crise cyber a été mené début juin à l’échelle du G7. En quoi a-t-il consisté et quelles conclusions en tirer ?
En octobre 2017, les ministères des Finances et les gouverneurs de banque centrale ont validé le principe d’organiser cet exercice international avec les autorités financières des pays du G7 : les ministères des Finances, les banques centrales, les superviseurs bancaires, et les autorités de régulation des marchés financiers. Dans ce cadre, le pilotage des travaux préparatoires a été confié à la Banque de France.
L’exercice a effectivement été mené en juin 2019, coordonné par la Banque de France. Il a consisté à simuler un incident cyber majeur affectant le secteur financier, et a réuni les 24 autorités financières des 7 pays, ainsi que les acteurs privés de 4 pays, la France, l’Allemagne, l’Italie et le Japon. Le groupe de Place « Robustesse », créé à l’initiative de la Banque de France en 2005, qui mène des simulations d’incidents d’importance moyenne sur une base annuelle, a participé au protocole. Au total, plus de 1 000 personnes ont participé à ce test du G7 en France.
L’objectif était de valider un protocole de communication mis en place entre les autorités du G7 : un processus formalisé d’échange d’informations entre les autorités financières, destiné à établir un diagnostic commun et à coordonner les actions de réponse à un incident et assurer la reprise de l’activité.
Les enseignements de cet exercice sont en cours d’élaboration et seront tirés lors d’une réunion des gouverneurs de banque centrale en octobre 2019. Mais nous pouvons d’ores et déjà confirmer que l’intérêt de tels exercices pour renforcer les capacités opérationnelles de réaction du système financier et des autorités financières et l’utilité du protocole de communication, qui aura vocation à être pérenne, sont actés.
Quel a été le rôle et l’action des banques lors de l’exercice de juin ?
L’exercice du G7 comprenait deux niveaux : le premier, circonscrit aux autorités financières, le second, animé au niveau de chaque juridiction. En France, il a ainsi constitué l’exercice annuel du groupe de Place « Robustesse », mobilisant non seulement les banques, mais aussi les infrastructures de marché et les représentants de l’État. Dans le cadre du scénario global, il a permis d’impliquer ces acteurs locaux en les faisant réagir aux faits de jeu produits par le scénario et ainsi participer localement à la simulation de crise.
Pourquoi seuls les acteurs privés de quatre des sept pays du G7 ont-ils participé ?
Un principe d’optionalité a en fait été laissé à chaque juridiction pour associer le cas échéant son industrie (banques, contreparties centrales, systèmes de paiement, dépositaires de titres) selon une granularité décidée localement. Compte tenu de la complexité de l’exercice, les autres juridictions ont préféré limiter leur participation au protocole de communication entre autorités financières du G7.
Une conférence G7 Cybersécurité a eu lieu le 10 mai à la Banque de France. Quels en sont les principaux enseignements ? Il a beaucoup été question d’aller vers davantage de coordination…
Il y a deux volets importants, la prévention de tous les acteurs, la ligne de défense, qui doit être la priorité, et le fait d’être capable de gérer une crise, en faisant des exercices de simulation, en s’entraînant à communiquer, échanger, dérouler des actions concrètes…
La coordination entre pays est toujours complexe dans ce domaine car le risque cyber est sensible en termes de protection et de défense de la souveraineté. Cela a d’ailleurs été l’un des enseignements de cet exercice de simulation de crise, de montrer la nécessité de davantage de coopération. La réunion des ministres des Finances et des gouverneurs de banque centrale qui s’est tenue à Chantilly les 17 et 18 juillet a confirmé l’importance de cette coordination en cas de crise.
Quelles sont les avancées concernant la cybersécurité dans le secteur financier apportées par cette réunion du G7 Finances de juillet ?
Cette réunion a souligné la nécessité d’approfondir les travaux dans trois domaines : la régulation, la classification et la préparation.
Concernant la régulation, il faut veiller à la cohérence des recommandations entre les instances de normalisation au niveau international. Il a été demandé au groupe de travail du G7 dédié à la cybersécurité, le G7 Cyber Expert Group (CEG), d’étudier, dans le cadre de son exercice programmé d’auto-évaluation, si les éléments
Les ministres et gouverneurs ont également chargé G7 CEG d’élaborer une classification commune des incidents cyber affectant le secteur financier, pour mieux mesurer leurs impacts. C’est la deuxième étape du plan d’action : adopter une classification commune des incidents cyber permettra aussi de renforcer la convergence des recommandations. Cela se fera en lien avec le Conseil de stabilité financière (FSB) dont le lexique publié en novembre 2018 sera une base. C’est un élément important dans la capacité de répondre à une crise, de s’accorder sur l’analyse des risques et leur qualification.
Troisième domaine, la préparation : les ministres et gouverneurs ont convenu de tirer les enseignements de l’exercice de simulation de crise mené en juin lors de leur prochaine réunion en octobre et de définir un programme pour de futurs exercices dans le même cadre du G7. Des exercices de l’ampleur de celui de juin n’auront pas lieu tous les ans, mais des exercices intermédiaires plus restreints seront menés.
Comment aller vers davantage de coordination internationale en matière de réglementation ?
Les réglementations liées à la cybersécurité sont essentiellement nationales, en France, il s’agit de la Loi de programmation militaire. Cette réglementation vise à assurer la défense et la sécurité nationale. En France, par exemple, les incidents doivent être signalés à l’Agence nationale de sécurité des systèmes d’information (ANSSI).
La coordination de la réglementation en matière de cybersécurité est assez complexe, mais l’idée est bien d’essayer d’améliorer cette coordination.
Toutes les initiatives internationales existantes revêtent actuellement des caractères non contraignants, ce sont plutôt des principes, comme les orientations du CPMI/IOSCO sur la cyber résilience des infrastructures de marchés financiers de 2016. Si elles sont non contraignantes, elles finissent par faire référence auprès des autorités, et par constituer un corpus de recommandations de base. C’est ce processus assez lent qui permet une convergence progressive.
La première étape du plan d’action déjà mentionnée vise justement à s’assurer de cette convergence progressive. La Banque de France est particulièrement vigilante quant à ce risque potentiel de juxtaposition d’exigences réglementaires ; faute de coordination suffisante, elles pourraient aboutir à des divergences inutiles, source de coûts, voire à un risque d’arbitrage réglementaire, avec des acteurs financiers qui pourraient choisir d’implanter leurs systèmes informatiques dans des juridictions les moins exigeantes.
La Banque de France va-t-elle désormais davantage coopérer avec d’autres instances concernant la cybersécurité ?
C’est la première fois que l’on mène un test de si grande envergure avec la Place. Et nous pouvons d’ores et déjà affirmer que cet exercice de simulation de gestion de crise a été utile. Cela nous a permis de mieux appréhender la façon dont les informations doivent être transmises et reçues, et de mettre en évidence l’importance de la communication vis-à-vis du grand public.
Propos recueillis par L. B.
