Le risque cyber constitue toujours pour le système financier une menace « systémique, dont l’acuité s’est renforcée depuis la crise ». Dans son rapport intitulé« Évaluation des risques du système financier français » de décembre dernier, la Banque de France précise que le risque cyber représente un coût économique très élevé.
La transformation numérique accroît la sensibilité des acteurs financiers à des attaques cyber. Tel est le postulat du rapport de la Banque de France.
« Les dernières grandes évolutions liées à la transformation numérique dans le secteur financier se classent en quatre grandes catégories : externalisation de prestations informatiques auprès des acteurs du numérique (par exemple, les services de cloud), l’offre de services de niche par les Fintechs, le développement des cryptoactifs, et l’apparition des stable coins », rappelle l’institution.
Au-delà du sujet critique de la transformation de leur modèle d’affaires aiguillonné par l’apparition de nouveaux acteurs, de nouveaux actifs et de nouvelles infrastructures, la transformation numérique est également associée à « une amplification du caractère systémique du risque cyber », écrivent les auteurs de ce rapport.
Le risque cyber représente un coût économique très élevé. Depuis quelques années, porté par une numérisation continue de l’économie et du système financier, « le risque cyber apparaît comme un risque dont la vraisemblance augmente sensiblement et qui est susceptible de présenter un fort impact ».
Le secteur financier : une cible privilégiée
La Banque de France note que « des vulnérabilités s’accroissent (le travail à distance peut y contribuer) et que des attaques se professionnalisent et démontrent une sophistication importante ». Mais c’est oublier aussi que de nombreux établissements financiers laissent encore trop trainer de données sensibles…
Selon l’institution, « le coût global des pertes liées à la cybercriminalité est extrêmement difficile à évaluer, mais une étude du Center for Strategic and International Studies (CSIS) de 2020 estime qu’il aurait augmenté de plus de 50 % en deux ans, pour représenter 1 % du PIB mondial environ ».
Le secteur financier constitue une cible privilégiée. À titre d’exemple, IBM estime que le secteur financier mondial a subi 23 % du total des cyberattaques en2020, soit plus que tout autre secteur pour la cinquième année consécutive.
Le plus inquiétant est que les acteurs malveillants peuvent combiner plusieurs stratégies déployées de manière discrète pendant plusieurs mois avant leur détection. Les cyberattaques peuvent également constituer une menace pour la stabilité financière.
« Face au risque cyber, il est nécessaire de mettre en place des mesures préventives, ainsi que d’assurer une réponse rapide et coordonnée en cas de survenance d’une attaque. Au titre de la prévention, les autorités de supervision financière œuvrent avec les autorités de surveillance et de sécurité de l’information sur le sujet de la cybersécurité, tant à l’échelle nationale qu’à l’échelle européenne », rappelle l’organisme.
La formalisation de cartographies des actifs informatiques
Afin de garantir une plus grande harmonisation des règles de gestion du risquecyber en Europe, le projet de règlement européen DORA (Digital Operational Resilience Act) est en cours d’élaboration.
En matière de gestion du risque informatique, le texte imposera aux entités la formalisation de cartographies des actifs informatiques et des risques associés, ainsi qu’une gouvernance adaptée à la gestion du risque cyber.
Tous les acteurs devront également mettre en œuvre des mesures de protection des systèmes et des données ainsi que des processus de détection d’anomalies. Outre des règles relatives à la gestion et à la remontée des incidents cyber, « le règlement comporte également des exigences tant sur la conduite de tests de sécurité par les établissements financiers que sur la gestion des risques liés aux prestataires informatiques », insiste la Banque de France.