Cybersécurité des acteurs financiers

Gérer le risque cyber à l'heure des évolutions réglementaires et digitales

Dossier réalisé par Laure Bergala

Introduction

Confrontés à l’ingéniosité des cybercriminels, les acteurs financiers adaptent sans cesse leur approche en matière de cybersécurité. Les évolutions réglementaires françaises et européennes, les transformations digitales et la place croissante prise par les données font également évoluer la gestion du risque cyber.

Revue de l'article

Dans un monde de plus en plus digitalisé où la dangerosité des cybercriminels progresse sans cesse, les cyberattaques existeront toujours et continueront même, sans doute, à croître. En témoignent des attaques propagées à des échelles jusque-là inédites en 2017, WannaCry et NotPetya, qui ont touché des acteurs français en provenance de l’extérieur. Les Pouvoirs Publics prennent cette menace multiforme et changeante – qui pourrait désormais aussi provenir d’États et toucher la souveraineté nationale – très au sérieux et l’Agence nationale de la sécurité des systèmes d’information (ANSSI) la juge globalement encore sous-évaluée. En charge de l’application de la loi de programmation militaire (LPM) de 2013, l’ANSSI impose pour l’État des obligations en matière de cybersécurité aux opérateurs d’importance vitale (OIV), parmi lesquels les banques, soumises depuis le 1er janvier 2017 à l’arrêté Finances.

La réglementation évolue aussi à l’échelle européenne : la directive NIS (Network and Information Security), qui doit être transposée au plus tard en mai 2018, crée le concept d’opérateur de services essentiels (OSE), voisin de celui d’OIV ; un « Paquet Cyber » présenté par la Commission en septembre dernier devrait renforcer la législation.

La cybersécurité n’est pas qu’une question de conformité réglementaire. Pour l’ACPR, elle est affaire de maîtrise des risques. L'ACPR va publier prochainement un document de réflexion sur ses attentes en matière de risque informatique et mène, depuis 2015, des contrôles dédiés sur place et sur pièces.

Les acteurs privés se saisissent également de plus en plus fortement du sujet, et les dirigeants y sont sensibilisés au plus haut niveau. La banque est considérée comme un secteur en pointe en matière de cybersécurité. L’approche s’y fait désormais par les risques et concerne tous les métiers, au-delà du seul domaine informatique.

L’évolution de la réglementation ouvre aussi de nouvelles questions, avec DSP 2 par exemple, qui organise depuis le 13 janvier l’ouverture des systèmes à des acteurs tiers. Se posent dès lors des questions de sécurité inédites, en bonne partie résolues par les standards techniques (RTS), et que les banques entendent bien assumer. Pour Gil Delille, responsable de la sécurité informatique du groupe Crédit Agricole, les banques ont toujours su adapter leur cybersécurité aux évolutions technologiques et vont continuer à le faire. Les nouveaux entrants, par la voix de Jérôme Traisnel (Afepame), estiment aussi ajuster leur approche de la cybersécurité aux évolutions digitales, comme à l’arrivée du paiement instantané.

Alors que l’importance des données personnelles ne cesse de croître, le règlement général sur la protection des données (RGPD) qui doit entrer en vigueur fin mai 2018 donne aussi de nouvelles obligations en la matière, notamment la nomination d’un délégué à la protection des données (DPO).

Il reste que si la cybersécurité évolue avec les transformations réglementaires, d’une part, et digitales, d’autre part, c’est avant tout face à l’ingéniosité imprévisible des cybercriminels que la cyber-résilience doit sans cesse être repensée.

Dossier réalisé par Laure Bergala

Sommaire