Cybercriminalité, un risque systémique pour les banques

Dossier réalisé par Laure Bergala

Introduction

Cybercriminalité, un risque systémique pour les banques

« Ils avaient résolu de s’attaquer à l’ordre financier mondial. Au moment choisi par eux, un missile serait lancé dans l’espace cybernétique. La connaissance intime qu’avait Carter des structures financières internationales, associée aux connaissances et à l’inventivité de Falk dans le monde des ordinateurs, constituait une combinaison idéale, d’une dangerosité extrême. »

Henning Mankell, La Muraille invisible

Cybercriminalité

Dans La Muraille invisible, roman policier de l’auteur suédois Henning Mankell publié en 1998, un hacker fomente avec un complice basé sur un autre continent une attaque informatique globale destinée à paralyser les principales places financières de la planète. De la fiction à la réalité, le pas est vite franchi : pour certains dirigeants de grandes banques françaises, la question n’est pas de savoir si une attaque cybercriminelle massive pourrait survenir, mais quand, et surtout comment s’y préparer, prévenir et le cas échéant gérer ce danger potentiel.

Car les cyberattaques se multiplient et se complexifient, comme le détaille Laurent Heslault, directeur des stratégies de sécurité de Symantec Europe du Sud. Avec l’interdépendance accrue des banques avec d’autres acteurs financiers, la digitalisation croissante des activités, de paiement et de règlement notamment, et avec des systèmes de plus en plus ouverts et interconnectés, la cybercriminalité est devenue un risque systémique pour les banques. « Le risque d’un vol massif de données tout comme celui d’une attaque qui paralyserait le fonctionnement d’une institution doit être pris en compte par les autorités prudentielles comme l’ACPR, parce qu’ils pourraient être porteurs d’un risque systémique », estime Édouard Fernandez-Bollo, secrétaire général de l’ACPR, qui analyse ce risque et les mesures pour y faire face. Dès 2011, le Comité de Bâle indiquait de son côté que la prévention et la bonne gestion du risque cybercriminel relevaient de la stabilité financière.

La Banque de France ne voit pas les choses autrement. Son rapport sur l’« Évaluation des risques du système financier français » paru en décembre 2015 se termine sur les risques liés à la cyber-résilience des infrastructures de marché. « La question de la cybersécurité est cruciale pour le bon fonctionnement des infrastructures, conditions préalables pour assurer la stabilité financière et la bonne mise en œuvre de la politique monétaire », estime ce rapport qui précise que, si les infrastructures de marché sont pour l’heure relativement épargnées par les cyberattaques, les régulateurs leur demandent de se tenir prêtes et de démontrer leur robustesse. Au niveau international, le groupe de travail CPMI-IOSCO [1] a publié en novembre dernier son projet de recommandation sur la cyber-résilience des infrastructures de marché, soumis à consultation jusqu’au 23 février.

Aux niveaux français et européens, plusieurs textes encadrent les dispositifs de prévention des risques et plus globalement les politiques de sécurité informatique. Sabine Marcellin, juriste chez Cacib, fait la synthèse de ces textes dont certains sont en cours de finalisation. L’arrêté qui précise les obligations des banques en tant qu’opérateurs d’importance vitale (OIV), issu de la loi de programmation militaire de 2013, doit paraître au premier semestre 2016. Concernant les paiements, Pierre Storrer, avocat chez Kramer Levin, analyse le volet sécurité de la DSP 2 publiée fin novembre.

Les banques rappellent qu’elles n’ont pas attendu le renforcement de la réglementation pour sécuriser leurs systèmes et mettre en place des outils de prévention et de détection des intrusions. Les exemples concrets du groupe Société Générale et de la Banque de France montrent que l’équilibre reste sans cesse à inventer entre le numérique et l’ouverture d’une part, et la sécurité d’autre part.¶

 

 

Dossier réalisé par Laure Bergala

[1] The Committee on Payments and Market Infrastructure – International organization of securities commissions, Working group on cyber resilience (WGCR)

Sommaire

Le dossier que vous souhaitez consulter est payant ou réservé à nos abonnés.

Vous êtes abonné.
Merci de vous identifier.

Achetez ce contenu à l'unité
Tarif : 15.00 euros TTC
Revue Banque