Sécurité informatique

Intégrer le risque cyber dans la gouvernance des risques bancaires

La gestion des risques liés à la cybersécurité, aussi appelés « risques cyber », est longtemps restée cantonnée dans les DSI. Il est temps de lui donner toute sa place dans la gouvernance générale des risques bancaires.

Intégrer le risque cyber dans la gouvernance des risques bancaires

L'auteur

Pour en savoir plus

images
  • Cycle de vie de la préparation et de l’exécution d’une cyberattaque

    Cycle de vie de la préparation et de l’exécution d’une cyberattaque

  • tableau

    tableau

  • cyber risque

    cyber risque

Revue de l'article

Cet article est extrait de
Revue Banque n°827

Numéro double 827-828 : Prospective 2019 - Rétrospective 2018

Les évolutions technologiques et la numérisation accélérée des processus et des transactions depuis les années 2000 ont augmenté la dépendance des économies développées aux nouvelles technologies. Dans ce contexte, comme l’ont démontré des attaques WannaCry et NotPetya en 2017, l’exposition des acteurs économiques à des actions malveillantes de grande ampleur s’est considérablement accrue ces dernières années. En raison de son objet même, à savoir la gestion des flux financiers et le financement de l’économie, le secteur bancaire est particulièrement exposé à des actes de cybermalveillance (voir Schéma).

Ce risque a changé de nature ces dernières années à plusieurs points de vue. En premier lieu, la sophistication la fréquence et l’ampleur des attaques se sont accrues (300 000 ordinateurs touchés par l’attaque Wannacry en mai 2017). Surtout, le risque de propagation des attaques se trouve augmenté en raison de l’interconnexion des acteurs et, en conséquence, de la dépendance des banques aux systèmes d’information d’acteurs extérieurs : pairs, sous-traitants, clients, fournisseurs, opérateurs (télécom et data centers), FinTechs, contreparties, infrastructures de marché, systèmes de paiement ou de règlement/livraison, etc., de sorte que le caractère potentiellement systémique du cyber-risque est de plus en plus avéré.

L’évolution des attaques

Prenons la mesure de cette évolution : naguère encore, pour un établissement bancaire traditionnel, les attaques malveillantes concernaient dans de nombreux cas le domaine physique (transports de fonds, guichets, distributeurs automatiques, etc.). Elles étaient considérées comme une catégorie d’événement générateur de risque opérationnel (risque de dommage aux actifs physiques), tout comme d’ailleurs le risque informatique, essentiellement appréhendé sous l’angle de la défaillance accidentelle (risque de panne ou d’incident système).

L’arrêté du 3 novembre 2014 relatif au contrôle interne des établissements de crédit et des entreprises d’investissement ne définit pas spécifiquement le risque IT et encore moins le risque cyber. Les dommages aux systèmes sont définis comme une catégorie de risque opérationnel ; à ce titre, ils doivent être cartographiés et quantifiés sur l’ensemble des processus de la banque, selon la méthodologie définie pour tout autre risque opérationnel.

Mais cette conception du risque cyber comme une sous-catégorie du risque opérationnel est aujourd’hui obsolète. Le terrain des attaques s’est déplacé du domaine physique au domaine virtuel dans un contexte de montée en puissance des transactions électroniques, d’interconnexion croissante des systèmes et d’apparition de nouveaux terrains propices aux attaques (cryptomonnaies par exemple). La cybercriminalité constitue désormais un phénomène d’un genre nouveau qui mérite d’être appréhendé en tant que tel, et que les régulateurs prennent désormais spécifiquement en compte.

La prise en compte par les superviseurs

En effet, dans le cadre de leur objectif de maintien de la stabilité financière, les régulateurs sont engagés dans un processus de formalisation de leurs attentes en termes de gouvernance du risque cyber, que ce soit à l’échelon international, européen ou national.

Au niveau international, une étude du Comité de Bâle a mis en exergue les juridictions les plus avancées dans la supervision du risque « cyber ». Sans surprise, l’étude cite notamment États-Unis et certaines juridictions asiatiques (Hong Kong, Singapour). Par exemple, aux États-Unis, la réglementation « Reg SCI » (Systems Compliance & Integrity) impose aux établissements régulés par la SEC des obligations spécifiques inhérentes à la cybersécurité, avec une logique identique à l’appréhension des risques financiers : revue du risk appetite par le Board, revue indépendante des systèmes, obligations liées à la gouvernance du risque IT, etc. Quant à la CFTC, elle impose une revue périodique approfondie des contrôles sur les systèmes d’information de l’établissement.

Le superviseur européen travaille également à une meilleure prise en compte du risque cyber, comme en témoignent les orientations de l’ABE (Autorité Bancaire Européenne) de mai 2017 (voir Tableau).

En la matière, les superviseurs bancaires se réfèrent explicitement à des standards externes édictés par les agences spécialisées dans la sécurité informatique, avec lesquelles ils coopèrent de plus en plus. Ainsi, au niveau français, l’ACPR et l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) ont annoncé en janvier 2018 la signature d’un accord prévoyant un échange régulier d’informations en matière d’incidents affectant la sécurité des systèmes d’information.

Enfin, les superviseurs intègrent les risques de cybersécurité dans l’exercice de leurs missions de contrôle sur place. Ainsi, l’ACPR s’est dotée d’équipes spécialisées dans ce domaine et mène elle-même, entre autres, des campagnes d’intrusion (penetration tests) pour tester la robustesse des systèmes des établissements audités. De plus, l’ACPR et l’ANSSI ont récemment mené un exercice de gestion de crise cyber avec les principaux acteurs financiers concernés.

Adapter le dispositif interne de gestion des risques

Par sa vitesse de propagation dans un ensemble interconnecté et globalisé, le risque « cyber » est par définition systémique. Pour un établissement bancaire, il est donc particulièrement urgent d’adapter son dispositif interne de gestion des risques de façon à intégrer le risque cyber. Pour ce faire, le cadre prudentiel est, dans ses grands principes, déjà en place ; il ne reste donc plus aux banques qu’à décliner les principes de gestion des risques bancaires sur le risque cyber, tout en intégrant ses spécificités.

En premier lieu, le senior management doit se montrer moteur dans la mise en œuvre, au sein de l’établissement, d’une véritable politique de gouvernance des risques cyber en cohérence avec le dispositif de gestion des risques financiers. Le suivi des risques incombant à la fonction de gestion des risques, il conviendra également d’évaluer l’opportunité de placer le RSSI sous une double ligne de reporting : vers le DSI et vers le directeur des risques.

En second lieu, comme le soulignent les orientations de l’EBA, il faut intégrer les risques IT et cyber dans le « Pilier 2 » et donc dans l’ICAAP (exercice annuel de quantification des risques et d’évaluation de l’adéquation de leur couverture par les fonds propres). Cela implique :

– la définition de scénarios de crise sur le risque cyber (cyberattaque sur les systèmes névralgiques de la banque, p.ex.) ;

– la quantification de ces scénarios et des pertes potentielles induites (arrêt des systèmes pendant le temps nécessaire au rétablissement, remplacement des serveurs/machines endommagés, dédommagement des clients/contreparties…) ;

– l’allocation spécifique d’une quote-part des fonds propres à la couverture du risque cyber.

Troisièmement, il convient d’établir un plan de continuité et de reprise de service (Disaster Recovery Plan) en cas de scénario de cyberattaque. Ce plan présente des spécificités par rapport au plan de continuité d’activité (PCA). En effet, le PCA prend en compte le risque de panne ou d’événement extérieur (catastrophe naturelle, terrorisme, etc.) mais n’intègre pas toujours le risque de cyberattaque. Or, les solutions pour assurer la continuité d’activité dans ce dernier cas ne sont pas nécessairement les mêmes.

L’ICAAP et le Disaster Recovery Plan doivent permettre d’évaluer le niveau de risque acceptable pour l’établissement sur ses différents systèmes. Il conviendra évidemment d’assurer un niveau de protection et de résilience accru pour les systèmes les plus critiques. Une cartographie détaillée des applications critiques et des contrôles spécifiques exercés sur ces applications en constitue l’outil indispensable.

Le quatrième axe de travail consiste à renforcer les équipes de contrôle interne en les dotant de compétences spécifiques en matière de cybersécurité. Si cela est de plus en plus fréquent au sein du contrôle périodique, avec des équipes spécialisées dans les fonctions d’audit ou d’inspection, c’est en revanche beaucoup moins le cas pour la fonction de contrôle permanent en tant que « seconde ligne de défense », les contrôles sur les systèmes étant le plus souvent positionnés au sein de la direction des systèmes d’information.

Une politique systématique de sécurisation

Enfin, il convient de mener une politique systématique de sécurisation des S.I. selon plusieurs axes recommandés par l’ACPR et l’annexe de l’arrêté OIV « finances » [1] : protection physique des installations, identification/recensement des actifs informatiques (postes de travail, serveurs, clés sécurisées d’accès au S.I., etc.), protection logique (antivirus), dispositif de détection des attaques, dispositif de réaction aux attaques (communication au personnel, cloisonnement des actifs infectés, etc.). Les objectifs sont clairs : identifier, protéger, détecter, répondre, restaurer.

Les mesures, obligatoires ou recommandées, ont pour objectif ultime d’assurer un niveau de résilience élevé des opérateurs financiers. Il faut néanmoins constater qu’il y a loin de la coupe aux lèvres et, que si le travail entrepris par les régulateurs est à souligner, la réponse des opérateurs est le plus souvent insuffisante parce que la dimension « cyber » reste encore peu comprise et essentiellement appréhendée sous un angle technique, très abscons pour les Comités de direction.

Plusieurs points méritent d’être pris en compte avec plus de rigueur : le dimensionnement des capacités ainsi que le contrôle des fournisseurs de télécommunications et d’hébergement de services et de données. Le dimensionnement capacitaire ne peut uniquement se faire sur la base de statistiques passées majorées, moyennées ou pondérées. Il doit se définir sur la base de scénarios intégrant les tiers nécessaires au fonctionnement du service rendu, leurs contraintes capacitaires et aptitude à faire face à une crise cyber. Les exercices de crise doivent refléter cette réalité.

Les fournisseurs, bien que contractuellement tenus par des SLA [2], n’ont pas nécessairement des ressources utilisées par un client unique. Il convient de s’assurer qu’en cas de crise ils sont capables de tenir leurs engagements dans un contexte où un pic de demande est plus que probable. De plus, des infrastructures comme les data centers comportent de nombreux systèmes auxiliaires, de type industriel (contrôle d’accès physique, gestion technique centralisée, gestion de l’alimentation électrique, de la climatisation, de l’eau, du CO2, etc.), dont le niveau de sécurité est celui des systèmes informatiques d’il y a 15 ou 20 ans, et constituent donc des vecteurs d’attaque qu’il faut traiter, au moins en imposant certaines exigences aux fournisseurs.

Un avantage compétitif

Pour conclure, le renforcement de la sécurité du système bancaire face aux phénomènes de cybercriminalité incombe à chaque établissement, sous le contrôle du superviseur et dans le cadre du processus de surveillance prudentielle (Pilier 2). Non seulement ce renforcement prémunira l’ensemble du secteur contre un risque de dimension systémique, mais les investissements induits pourraient se révéler payants en termes d’avantage compétitif. En effet, il y a fort à parier que les établissements qui auront le mieux anticipé ce risque seront les mieux préparés à la prochaine crise bancaire.

[1] La Loi de Programmation Militaire de 2013 définit les obligations des Opérateurs d’importance vitale en termes de protection de leurs systèmes d’information critiques via des arrêtés sectoriels, dont l’arrêté Finances entré en vigueur en janvier 2017.

[2] Service Level Agreement.

 

Articles du(des) même(s) auteur(s)

Sur le même sujet