Le concept de cybercriminalité désigne dans l’usage courant toute forme d’infraction réalisée au moyen de réseaux informatiques ou de systèmes d’information dans le but de porter atteinte aux données ou aux systèmes d’une institution. La menace que fait peser la cybercriminalité sur le secteur bancaire suscite une attention élevée de la part des superviseurs, car elle soulève de nouveaux défis. Le risque d’un vol massif de données tout comme celui d’une attaque qui paralyserait le fonctionnement d’une institution doivent être pris en compte par les autorités prudentielles comme l’ACPR, parce qu’ils pourraient être porteurs d’un risque systémique. Cet article examine les risques potentiels que font peser les cyberattaques sur les banques et la stabilité financière, puis décrit certaines des mesures déjà prises par les banques, les superviseurs et les banques centrales pour renforcer la résilience du système bancaire face à la cybercriminalité.
Les risques potentiels pour les banques et la stabilité financière dépendent du type de cyberattaque
Les attaques de type « Distributed Denial of Service » (DDoS) ou attaques par saturation, destinées à bloquer les sites de banque en ligne, sont désormais devenues courantes. Les atteintes à la réputation d’une institution bancaire susceptibles d’en découler peuvent avoir des conséquences graves en cas d’indisponibilité durable et altérer la confiance des clients envers leur banque. Des attaques de grande ampleur simultanées visant plusieurs établissements pourraient même représenter un risque systémique si les acteurs financiers et autres contreparties interrompaient leurs opérations avec ces établissements.
Un autre type d’attaque pourrait toutefois avoir un impact encore plus grand. Combinant des techniques sophistiquées d’intrusion et d’usurpation de droits, les « Advanced Persistent Threat » (APT) pourraient en effet permettre aux pirates d’accéder directement aux applicatifs et aux bases de données les plus sensibles pour les banques, notamment celles liées à la tenue des comptes ou aux flux de paiement de masse. Une attaque réussie de ce type pourrait entraîner des dommages considérables pour un établissement, à la fois financiers et de réputation, susceptibles de faire peser un risque sur sa continuité d’activité. L’exactitude des données relatives aux transactions et aux positions des clients pourrait être altérée, ce qui entraînerait des répercussions sur un grand nombre d’agents économiques en relation avec la banque et ses clients, notamment institutionnels.
Les interdépendances accrues entre les banques et les autres acteurs du système financier renforcent le risque systémique potentiel des cyberattaques
L’intégrité des interconnexions entre les banques et les autres acteurs de l’écosystème financier est essentielle à la sûreté du système bancaire, et plus largement du secteur financier. Une cyberattaque touchant ces interconnexions pourrait avoir un effet immédiat de propagation à l’ensemble du système financier. Les banques sont dépendantes notamment des infrastructures de marché (systèmes de règlement-livraison de titres, de compensation des paiements, chambres de compensation), car ces dernières dénouent les transactions nécessaires à l’exercice des activités bancaires. Les banques sont aussi dépendantes de nombreux prestataires de services informatiques, par exemple pour les paiements internationaux ou pour le traitement des données clients. Des cyberattaques touchant ce type d’acteurs, infrastructures centrales ou prestataires de services informatiques sensibles, pourraient avoir des répercussions extrêmement graves sur les banques, voire déclencher une crise de nature systémique.
Face à ces menaces, les banques ont renforcé leurs dispositifs
En application de la réglementation bancaire française, les banques ont dû, de longue date, définir des stratégies informatiques tenant compte des exigences de sécurité nécessaires à la protection de leurs systèmes. L’émergence de nouvelles techniques de cybercriminalité les a conduites à devoir adapter leurs dispositifs de prévention des risques. De nouvelles politiques de sécurité informatique ont été élaborées, incluant notamment :
- le renforcement de l’expertise et de la sensibilisation de l’ensemble du personnel ;
- la participation à des exercices de crise réguliers ;
- le renforcement de la protection des systèmes internes avec un contrôle des accès plus rigoureux ;
- le chiffrement plus étendu des données ;
- la mise en place d’outils de détection des intrusions et la réalisation de tests périodiques de leur efficacité.
Les superviseurs favorisent les initiatives de Place et mettent en rang de priorité élevé le contrôle des risques informatiques
Les superviseurs prudentiels, dont le rôle est de veiller à la préservation de la stabilité des établissements financiers, se concentrent sur le volet préventif de la lutte contre la cybercriminalité. Dès novembre 2012, en France, un test de
Dans le cadre du mécanisme de supervision unique, la BCE et les superviseurs bancaires nationaux prennent en compte le risque de cybercriminalité comme une composante à part entière du risque informatique. La BCE l’a inscrit dès 2015 parmi ses priorités de contrôle et a diligenté plusieurs missions sur ce thème. D’autres initiatives visant à renforcer l’identification des menaces sont en cours. Face aux enjeux posés par les cyberattaques, un axe de progrès consisterait, par exemple, dans la mise en place d’un recensement centralisé des incidents au niveau européen.
Favoriser la coopération entre tous les acteurs publics ou privés
Étant donné les répercussions qu’une cyberattaque de grande ampleur pourrait avoir sur la robustesse du système bancaire, en France comme en Europe, il est nécessaire qu’une collaboration efficace s’installe entre les établissements bancaires, leurs superviseurs et les banques centrales, de même qu’avec les autres autorités publiques impliquées, comme
