Cet article appartient au dossier : Retour sur 2019.

Rétrospective 2019

La coordination en matière de cybersécurité progresse

Cybersécurité

La menace cyber n’est pas nouvelle pour les acteurs et la stabilité financière, mais la lutte organisée contre la cybercriminalité a connu des avancées en 2019. Étant entendu que le risque cyber qui guette à tout instant le monde de la finance est un risque majeur, systémique, transfrontalier et transsecteur qui pourrait se propager comme une traînée de poudre, à l’heure du développement exponentiel des services digitaux et des données, les autorités financières travaillent à une meilleure coordination globale des réponses. Les projets concernent notamment la définition et la catégorisation des risques, sur lesquelles l’ACPR a fait des propositions avec son document de réflexion sur le risque informatique publié en janvier 2019. Le Conseil de stabilité financière (FSB) y travaille aussi depuis plus d’un an. Des pistes visent aussi à une meilleure homogénéisation des environnements réglementaires pour atténuer les divergences entre juridictions.

Point d’orgue de travaux conduits en 2019 sous la houlette de la Banque de France dans le cadre de la présidence française du G7 qui a fait de la lutte contre la cybercriminalité une de ses priorités, un exercice de simulation de crise cyber d’une ampleur inédite a été mené du 4 au 6 juin dernier. Il visait à expérimenter un processus formalisé de communication entre autorités financières des pays du G7 à partir d’une attaque visant ces quelque 25 autorités et les acteurs financiers privés de quatre pays. « Ce test réalisé dans les conditions les plus proches possible de la réalité visait à s’assurer du bon fonctionnement du protocole de communication entre autorités financières du G7 (processus formalisé de mobilisation des actions de réponse en cas de crise cyber) sur la base d’un scénario général qui simulait une attaque ayant des effets extrêmement signifiants sur la résilience du secteur financier », explique Valérie Fasquelle, directrice de la surveillance des paiements et des infrastructures de marché à la Banque de France. Côté français, plus de 1 000 personnes y ont participé.

Le 17 octobre, les enseignements de ce test ont été tirés lors d’une réunion des ministres et gouverneurs de banques centrales du G7 (G7 Finances). « Nous avons identifié trois axes sur lesquels continuer à travailler : ajuster les modalités d’échange et de communication du protocole éprouvé en juin ; renforcer le partage d’information sur les outils de chacun, dans un cadre national mais aussi transfrontalier, pour atténuer les effets d’une crise sur le secteur financier et favoriser sa résolution ; et renforcer notre connaissance de chaque écosystème pour connaître le niveau d’interdépendance des acteurs critiques », détaille Valérie Fasquelle. Ces trois axes vont donner lieu à des travaux en 2020 et 2021 dans le cadre du G7 sous présidence américaine (voir Encadré).

L. B.

 

Ils ont dit

Les pistes du G7 Finances de juillet

Concernant la régulation, il faut veiller à la cohérence des recommandations entre les instances de normalisation au niveau international. Il a été demandé au groupe de travail du G7 dédié à la cybersécurité, le G7 Cyber Expert Group (CEG), d’étudier, dans le cadre de son exercice programmé d’auto-évaluation, si les éléments fondamentaux qu’il a élaborés ont une influence suffisante sur les recommandations destinées aux acteurs financiers.

Les ministres et gouverneurs ont également chargé le G7 CEG d’élaborer une classification commune des incidents cyber affectant le secteur financier, pour mieux mesurer leurs impacts. C’est la deuxième étape du plan d’action : adopter une classification commune des incidents cyber permettra aussi de renforcer la convergence des recommandations. Cela se fera en lien avec le Conseil de stabilité financière (FSB).

Nathalie Aufauvre, directrice générale de la stabilité financière et des opérations, Banque de France, Revue Banque n° 835, septembre 2019, pp. 24-26.

 

Vers un cyberlexique commun

Pour contribuer à l’élaboration d’un langage commun, le FSB a publié en novembre 2018 un lexique cyber pour faciliter son propre travail et celui des corpus d’élaboration de normes, et des autorités et participants du secteur privé. Le cyberlexique comprend un jeu d’environ 50 termes essentiels relatifs à la cybersécurité et à la cyber-résilience du secteur financier. Ces termes doivent favoriser la compréhension commune d’une terminologie pertinente en matière de cybersécurité et de cyber-résilience au sein du secteur financier dans son ensemble, incluant les banques, les marchés financiers, les infrastructures, l’assurance et les marchés de capitaux, et avec les autres secteurs industriels. Une compréhension commune au sein du secteur financier, incluant autorités et acteurs privés, peut non seulement aider à améliorer la cybersécurité et la cyber résilience dans l’ensemble du secteur, mais aussi fournir les bases pour mesurer et contrôler les risques associés pour la stabilité financière.

Dietrich Domanski, Secrétaire général, FSB, Revue Banque n° 835, septembre 2019, pp. 28-30.

 

Sécuriser les données

Les applications de l’intelligence artificielle, le recours à des cloud complexes, l’usage des cryptomonnaies et des objets connectés soulèvent de nouvelles questions relatives à la sécurité. Ces développements technologiques conjugués à l’internationalisation de la menace de cybercriminalité feront encore évoluer les règles juridiques nationales et européennes vers une obligation croissante de sécurisation des données.

Sabine Marcellin, avocate, Aurore Legal, Revue Banque n°835, septembre 2019, pp. 36-39.

 

La sécurité à l’épreuve de l’ouverture

Aujourd’hui, l’industrie bancaire et financière compte parmi les mieux protégées contre les attaques et les fuites de données. Mais l’émergence du concept de « banque ouverte » pourrait bien changer la donne. Avec la mise en application de la directive DSP 2 notamment, et l’évolution des attentes des clients, les banques doivent relever un défi de taille : le partage de leurs précieuses données, et celles de leurs clients, avec des entreprises tierces – agrégateurs de comptes, banques concurrentes, start-up et autres FinTechs. Une simple API mal intégrée dans une application peut entraîner un risque de fuite de données, engageant la responsabilité de tous les acteurs impliqués. Au-delà du simple partage des données, les banques ont également intérêt à nouer de vrais partenariats stratégiques avec certains de ces tiers, pour que l’ouverture soit créatrice de valeur de manière bilatérale. Elles vont donc travailler et ouvrir des ponts de communication avec des entreprises… sans avoir toujours une compréhension claire et complète de leur niveau de sécurité, s’exposant à de nouveaux risques sur lesquels elles n’ont que peu de contrôle.

Bertrand Trastour, Head of B2B sales France, Kaspersky, Banque & Stratégie n° 383, septembre 2019, pp. 5 et 6.

 

L’IOT objet de menaces

Il est essentiel de cartographier les risques liés à une utilisation mal maîtrisée des objets connectés. En effet, les attaques visent de plus en plus les objets connectés et les systèmes industriels souvent interconnectés avec les clients et les sous-traitants. Les objets connectés peuvent être utilisés pour constituer des botnets et les programmes malveillants s'en servent pour en faire des machines zombies, permettant des attaques informatiques par déni de service distribué qui s'appuient sur la capacité de plusieurs appareils.

Ainsi, il faut avoir conscience qu’une faille de sécurité peut entraîner une perte massive de données pouvant nuire aux acteurs de l’IoT [1], qu’ils soient concepteurs ou utilisateurs.

L’accès illégal aux informations stockées ou échangées compromet le fonctionnement de l’objet, avec des conséquences diversement dommageables selon son domaine d’application (santé, industrie, smart vehicles, smart cities…). Les atteintes à la vie privée et à la personne peuvent se produire par le biais de caméras et enceintes connectées qui détournent des données de comportement et de déplacement.

Myriam Quemener, avocat général, Banque & Stratégie n° 383, septembre 2019, pp. 16-18.

[1] Internet of Things (IoT).

 

Sommaire du dossier

Retour sur 2019

Sur le même sujet