Les banques systémiques ont l’obligation réglementaire de disposer des mesures adéquates pour résister à des cyberattaques de grande envergure. (Photo: Shutterstock)

Les banques systémiques ont l’obligation réglementaire de disposer des mesures adéquates pour résister à des cyberattaques de grande envergure. (Photo: Shutterstock)

Les autorités de supervision bancaire alertent les banques européennes sur le risque de cyberattaques en provenance de Russie, sur fond de tensions autour de l’Ukraine. Une campagne de cyberattaques coordonnées pourrait affecter la stabilité des systèmes financiers. Alors que quatre banques systémiques luxembourgeoises sont à risque, l’une d’entre elles explique se tenir prête à toute éventualité, tandis que la Commission de surveillance du secteur financier (CSSF) surveille la situation et rappelle le cadre réglementaire.

Si l’annonce du ministère russe de la Défense de retirer une partie des troupes postées aux abords de la frontière avec l’Ukraine permet la tension diplomatique ambiante, la complexité du conflit larvé entre Moscou et l’Occident n’en reste pas moins une réalité. À défaut de se passer sur un théâtre de guerre traditionnel, le conflit pourrait bien se déplacer sur les réseaux informatiques, tout particulièrement avec des cyberattaques visant des infrastructures bancaires européennes. Il est en effet plus difficile pour des soldats et des tanks de traverser des frontières que pour des armées de hackers.

Plus tôt dans la semaine, la presse internationale rapportait que la Banque centrale européenne (BCE) serait actuellement occupée à préparer des banques à la menace de cyberattaques coordonnées par Moscou.

par Paperjam, la BCE a d’abord interrogé des institutions bancaires européennes sur leur exposition en Russie face au risque de nouvelles sanctions contre des parties prenantes proches du Kremlin. À présent, la BCE chercherait à en savoir davantage sur les capacités en matière de cybersécurité des banques qu’elle supervise.

Certaines sources ont même évoqué que des institutions bancaires mèneraient en ce moment des «war games» afin de tester leurs mesures de défense en cas de campagnes d’attaque contre elles. Même branle-bas de combat aux États-Unis, où, selon l’équipe Regulatory Intelligence de Thomson Reuters, l’État de New York aurait émis une alerte à l’intention des banques pour les informer d’éventuelles cyberattaques de représailles de la part de la Russie.

Le cyber-risque pris en compte

Contactée par Paperjam, la BCE se refuse à tout commentaire sur le risque de cyberattaques coordonnées contre des institutions bancaires européennes: «Nous ne pouvons pas spéculer sur de tels scénarios.» Il nous est toutefois indiqué que la BCE attend des banques qu’elles adhèrent aux meilleures pratiques du secteur et qu’elles restent vigilantes face aux nouvelles cybermenaces, tout particulièrement dans la situation actuelle.

Hasard de calendrier, le président du conseil de surveillance de la BCE, Andrea Enria, tenait, le 10 février, une conférence de presse lors de laquelle il a abordé le sujet de la cybersécurité des institutions bancaires: «Le cyber-risque est en effet un domaine qui fait l’objet d’une attention accrue de notre part. Nous avons eu récemment une discussion approfondie au sein de notre conseil de surveillance, et nous avons décidé de relever le niveau de priorité que nous attribuons à cette question à l’avenir.»

Le cyber-risque est en effet un domaine qui fait l’objet d’une attention accrue de notre part. (…) Je dirais que c’est un point sur lequel nous nous concentrerons davantage cette année, et un point sur lequel nous attirons également l’attention des banques, en relation avec l’aggravation potentielle des tensions mondiales qui pourrait en effet déclencher davantage d’attaques.
Andrea Enria

Andrea Enriaprésident du conseil de surveillanceBanque centrale européenne

Sans spécialement faire mention des tensions avec la Russie, Andrea Enria a mentionné la possibilité de voir une augmentation des cyberattaques contre des banques en raison du contexte géopolitique: «Je dirais que c’est un point sur lequel nous nous concentrerons davantage cette année, et un point sur lequel nous attirons également l’attention des banques, en relation avec l’aggravation potentielle des tensions mondiales qui pourrait en effet déclencher davantage d’attaques.»

Un risque systémique

À en croire l’European Systemic Risk Board (ESRB), l’organe responsable de la surveillance macroprudentielle du système financier de l’Union européenne, les autorités financières doivent davantage inclure la cyber-résilience des banques dans la gestion des risques systémiques. À cet égard, un rapport publié le 27 janvier recommande l’établissement d’un cadre de coordination systémique des cyberincidents.

Du côté du régulateur luxembourgeois, la Commission de surveillance du secteur financier (CSSF), il nous est indiqué que la cybersécurité des entités surveillées est un sujet d’attention permanent. La CSSF déclare d’ailleurs se tenir informée du contexte actuel. En revanche, elle n’a pas émis de recommandations suite à la tension entre la Russie et l’Ukraine et n’a pas eu connaissance d’une communication générale relative au risque de cyberattaques russes de la BCE vers les banques.

Si les cyberattaques relèvent du risque systémique, 115 banques européennes se retrouvent alors concernées, car supervisées par la BCE en raison du risque systémique qu’elles présentent pour la stabilité du système financier. Quatre de ces banques systémiques sont enregistrées et opèrent au Luxembourg. Pour certaines d’entre elles, contactées par Paperjam au sujet du risque de cyberattaques à leur encontre, il est délicat de fournir un commentaire au regard de la sensibilité de la question.

L’une de ces banques systémiques présentes à Luxembourg a accepté de répondre à nos questions, sans que son nom n’apparaisse publiquement. Cette dernière se refuse à communiquer des informations détaillées sur les mesures de sécurité prises au cas par cas, mais «considère la sécurité et la fiabilité de ses activités, ainsi que la protection des données, comme l’une de ses plus grandes priorités».

Elle déclare en outre prendre en compte «d’éventuelles attaques à différents niveaux» aussi bien «dans la phase de développement que dans l’exploitation» de chacune de ses activités. Il nous est également rapporté que les outils de sécurité informatique, les processus de contrôle et les budgets en ce sens sont développés sur une base continue.

La capacité de résister, une obligation réglementaire

La résistance aux cyberattaques relève d’une obligation réglementaire pour les entités critiques du secteur financier au Luxembourg. Celles-ci doivent être en mesure d’assurer leur propre résilience, ainsi que celle du secteur financier dans son ensemble, suite à l’adoption conjointe par la Banque centrale du Luxembourg (BCL) et de la Commission de surveillance du secteur financier (CSSF) du cadre européen TIBER, visant à tester la capacité de réponse des institutions bancaires face à des cyberattaques simulées.

«L’intérêt principal de TIBER est le secret de l’exercice: seuls quelques dirigeants en sont informés, ce qui implique une réaction non simulée des employés des institutions», nous explique la CSSF. L’exercice TIBER repose sur des techniques et procédures réellement utilisées par des cyberterroristes, plaçant la défense des institutions dans une situation crédible.

De façon plus générale, la CSSF attend des entités régulées qu’elles mettent en place des mesures de cybersécurité à la fois détectives et préventives, ainsi que des mesures de mitigation et de continuité de leurs activités critiques. En cas de cyberattaque, une institution financière a l’obligation de la rapporter à la CSSF, qui s’assure alors de la gestion effective de l’incident par l’entité concernée et de la mise sur pied d’un plan d’action visant à empêcher le même incident de se reproduire.

Articles Associés