Autorité de contrôle

« Que les dispositifs applicables au risque opérationnel soient bien mis en œuvre pour le risque informatique »

Pour l’Autorité de contrôle prudentiel et de résolution (ACPR), les cyber-risques sont indissociables des risques informatiques en général. Ce sont des risques opérationnels à maîtriser, et ils font à ce titre partie des missions de contrôle de l’Autorité. L’ACPR va publier prochainement un « document de discussion » sur ses attentes concernant ce risque informatique, le précédent datant de 1996.

L'auteur

  • Marc Andries
    • Inspecteur
      Banque de France
    • Chef de mission, Coordinateur du réseau des experts informatiques
      ACPR

Revue de l'article

En quoi l’ACPR est-elle concernée par la cybersécurité ?

L’ACPR est le superviseur des établissements des secteurs de la banque et de l’assurance, et à ce titre elle vérifie que les établissements maîtrisent différents types de risques : les risques de crédit, de marché, d’assurance, et aussi les risques opérationnels. Parmi ces derniers figure le risque informatique, qui requiert de plus en plus d’attention. L’enjeu est de faire en sorte que les dispositifs applicables au risque opérationnel soient bien mis en œuvre pour le risque informatique. Autrement dit, le risque informatique ne doit pas seulement être un sujet pour les informaticiens, cela doit être aussi un sujet pour la fonction de gestion des risques. Il faut également traiter l’entièreté des risques informatiques. Il est donc préférable d’avoir une approche globale de ces risques, ce qui inclut les cyber-risques, mais aussi ce qui a trait à la gouvernance du système d’information et à son bon fonctionnement.

L’ACPR est très active en la matière, à la fois par son action nationale et par son engagement dans les travaux des instances internationales comme le G7, le Comité de Bâle, l’Autorité bancaire européenne (ABE) ou la Banque Centrale Européenne (BCE). L’ACPR est l’autorité de supervision compétente en France pour les établissements du secteur bancaire dits « moins importants » (Less Significant Institutions), ainsi que pour l’ensemble des établissements du secteur de l’assurance. Dans le secteur de la banque, elle assiste la BCE qui est devenue depuis fin 2014 l’autorité de supervision compétente pour les établissements les plus importants (Significant Institutions).

L’ACPR s’apprête à publier en mars un « document de réflexion » sur ses attentes en matière de risque informatique. De quoi s’agit-il ?

Nous avons une solide expérience en matière d’identification et de maîtrise du risque informatique, qui remonte aux années 1990, à l’époque de la Commission bancaire, comme en atteste le « Livre blanc sur la sécurité des systèmes d’information » publié en 1996 et la constitution d’équipes dédiées au sein du contrôle sur place. Mais nous avons encore intensifié notre action à partir de 2015 par des contrôles sur place et sur pièces, pour soutenir la BCE qui en a fait l’une de ses priorités. L’observation récente de l’évolution du risque informatique, notamment avec l’émergence des cybermenaces, nous a conduits à rédiger un document de réflexion, qui sera très prochainement publié. De quoi s’agit-il ? Ce document comporte une définition du risque informatique, conçu comme un risque opérationnel, ainsi qu’une catégorisation de ce risque informatique selon les différents facteurs de risque habituellement identifiés. Cette catégorisation complète donc la catégorisation bâloise du risque opérationnel. Nous avons découpé le risque informatique en trois grands domaines, en distinguant les risques liés à une mauvaise organisation, ceux liés au mauvais fonctionnement du système d’information, et ceux résultant d’une sécurité insuffisante. Pour chaque facteur de risque, le document indique des mesures de maîtrise du risque appropriées.

Ce document présente, en quelque sorte, notre approche. Il a vocation à aider les établissements à structurer la leur, mais il ne s’agit pas de prescriptions. Chacun peut donc choisir sa propre classification du risque informatique et apporter ses mesures de maîtrise des risques adaptées à son contexte et son profil de risque. En tout état de cause, l’important est que l’ensemble des risques que nous identifions soient couverts de manière appropriée. L’objectif du texte est de permettre à la Place de Paris de progresser dans la maîtrise d’un risque devenu une préoccupation très forte.

Quelles seront les suites possibles du document de l’ACPR ? Pourrait-il donner lieu à une réglementation ?

Il s’agira d’un document de réflexion, ce qui veut dire que nous souhaitons avant tout susciter des réactions. Nous ne sommes pas dans une démarche réglementaire, même si nous pouvons par ailleurs être associés à des travaux de ce type. Nous participerons par exemple aux travaux que l’ABE va initier en 2018 pour la rédaction de guidelines sur le risque informatique. Le document de réflexion que nous allons publier peut bien évidemment nous servir de cadre conceptuel pour prendre position dans ces travaux. À vrai dire, le renforcement de la réglementation a déjà commencé. En 2017, l’ABE a publié deux textes importants : en mai 2017, à destination des autorités de supervision, des « Orientations sur l’évaluation du risque lié aux TIC [1] dans le cadre du processus de contrôle et d’évaluation prudentiels (Supervisory Review and Evaluation ProcessSREP) » [2], et en décembre 2017, des « Recommandations sur l’externalisation à des prestataires de cloud computing » [3]. D’autres instances pourraient également renforcer le cadre normatif. Le Comité de Bâle pourrait ainsi reprendre des travaux sur le risque opérationnel et nous souhaiterions, dans ce cas, qu’il détaille les modalités de traitement du risque informatique au sein du risque opérationnel. Le G7 élabore également une série de préconisations en faveur de la cybersécurité du secteur financier dans son ensemble.

En quoi consistent les contrôles concernant le risque informatique ?

L’ACPR a pour mission de mener des contrôles sur pièces et sur place dans les établissements qui sont sous sa supervision directe.

Les contrôles sur pièces sur les sujets informatiques se sont intensifiés ces dernières années. La BCE avait envoyé en 2015 des questionnaires sur la cybersécurité. En 2017, l’ACPR a prolongé cette démarche en envoyant un questionnaire d’auto-évaluation sur la cybersécurité à 83 établissements qu’elle contrôle directement. Cela nous a permis de classer ces établissements et de déclencher des actions prioritaires pour ceux qui nous paraissaient présenter des lacunes.

Mais l’approche ne se limite pas seulement à la cybersécurité. Suite aux nouvelles orientations de l’ABE de 2017, sur l’évaluation des risques informatiques, nous allons renforcer en 2018 nos contrôles sur pièces pour réaliser l’évaluation annuelle des risques dans le cadre du SREP.

Qu’en est-il des contrôles sur place menés par l’ACPR ?

L’ACPR fait depuis longtemps des contrôles sur place. Généralement, les vérifications en matière informatique n’étaient pas l’objet principal des missions, mais elles étaient réalisées en accompagnement d’autres thèmes de contrôle. À partir de 2015, la BCE a diligenté des contrôles exclusivement sur le risque informatique, en France comme dans les autres pays européens. Les équipes de contrôle sur place de l’ACPR y ont pris part. Ces contrôles se sont aussi renforcés pour les établissements restés sous supervision directe de l’ACPR, dans le secteur de la banque et aussi de l’assurance. L’ACPR est aussi le seul superviseur à réaliser des tests d’intrusion dans le cadre de ses contrôles sur place, grâce au concours d’une équipe de spécialistes de la Banque de France.

Les contrôles sur place sont généralement réalisés selon une périodicité régulière. Ils peuvent être plus ou moins ciblés selon la complexité et le profil de risque des établissements. Parfois les experts contrôlent tout le système d’information d’un grand établissement, ce qui ne signifie évidemment pas qu’ils contrôlent chaque ligne de code !

Quelles sont les ressources de l’ACPR qui travaillent sur le risque informatique ?

Nous avons deux équipes d’informaticiens spécialisés qui font le contrôle sur place, l’une pour le secteur de la banque, et l’autre pour le secteur de l’assurance. Même si chacune compte une dizaine de personnes, nous avions besoin d’étoffer ces compétences et nous avons constitué fin 2015 un réseau d’experts au sein du secrétariat général de l’ACPR. Ce réseau rassemble environ vingt-cinq participants, dont un quart est issu des équipes de contrôle sur place. Cela nous permet de mettre en relation, autour de contrôleurs sur place, des collègues contrôleurs sur pièces, ou chargés d’études, ou représentant l’ACPR dans des instances internationales. Au sein de ce réseau, nous pouvons faire avancer nos réflexions et réaliser des travaux transversaux, comme cela a été le cas pour le document de réflexion sur le risque informatique.

Les risques liés aux SI dans les banques évoluent-ils avec la transformation digitale ?

Ce qui rend avant tout le risque informatique plus prégnant, c’est le fait que l’ensemble de l’activité des établissements est désormais informatisé, ce qui crée une très grande dépendance. La « digitalisation » de la relation client-banque accroît encore cette dépendance. Aujourd’hui, il y a une exigence d’immédiateté pour les systèmes d’information. On ne peut plus tolérer des interruptions de service, à raison de pannes ou d’attaques.

Ce qui change aussi avec la transformation digitale, c’est la crainte très forte que peuvent avoir les clients sur la sécurité de leurs données et de leurs avoirs. Les impacts sur la réputation d’un établissement pourraient être désastreux en cas d’attaque retentissante.

Les évolutions récentes comme l’ouverture et l’interdépendance croissante des SI font-ils évoluer les cybermenaces ?

Oui, les systèmes d’information deviennent sans aucun doute plus difficiles à protéger, car ils communiquent beaucoup et sont même reliés à des systèmes exogènes, comme c’est le cas pour des plates-formes d’échange. Les menaces évoluent aussi en permanence selon les motivations des attaquants et l’apparition de nouvelles techniques d’attaque. Une bonne protection consiste justement à adopter une approche globale, c’est-à-dire pour tous les composants du système d’information et pour tous les risques : que ce soit à raison d’une attaque ou d’une panne, un dommage sera toujours préjudiciable à la confidentialité, à l’intégrité ou à la disponibilité d’un système ou de ses données.

C’est l’approche que prône l’ACPR, et qui fait justement l’objet du document de réflexion sur le risque informatique. Beaucoup se focalisent désormais sur la menace cyber, qui est réelle, mais qui n’est pas la seule. Il convient de traiter l’ensemble des risques informatiques et pas seulement ceux liés à la sécurité. Il faut également s’assurer du bon fonctionnement du système d’information et garantir la qualité des données, par exemple.

Constatez-vous une évolution des vulnérabilités et menaces ?

Nous voyons une évolution des menaces et de leur intensité et nous adaptons notre approche. Il y a trois ou quatre ans, les attaques se faisaient sur la périphérie des systèmes d’information des établissements, par phishing sur les postes des clients par exemple, et peu à peu elles se sont déplacées vers les systèmes des banques et des assureurs, avec des vols de données importants, des effacements de site, ou des dénis de service distribués (DDoS). Ce qui est plus récent, ce sont les attaques qui entrent dans les systèmes, comme il y en a eu en 2016 à la Banque Centrale du Bangladesh. Il y a donc une progression des attaques. Elles sont devenues de plus en plus virulentes, et l’ACPR doit vérifier si les établissements mettent leurs protections à niveau.

 

 

Sommaire du dossier

Gérer le risque cyber à l'heure des évolutions réglementaires et digitales

Sur le même sujet