« Le niveau de la menace est aujourd’hui jugé extrêmement préoccupant », a prévenu Marc Andries, responsable de la cellule d’évaluation des risques des systèmes d’information de l’Autorité de contrôle prudentiel et de résolution (ACPR) devant un parterre de professionnels de la finance ce jeudi. Ces dernières années, les cyberattaques se sont en effet renforcées à l’égard des banques et des assureurs, mais, surtout, elles ont changé de nature.
« Longtemps, le sujet était anecdotique car il concernait l’environnement informatique des clients des banques ou des assureurs, mais les choses ont changé avec les vols massifs de données », a fait valoir Marc Andries. De fait, selon une enquête menée par l’ACPR auprès de 306 organismes d’assurances en France, 82 % d’entre eux ont déclaré avoir été victimes d’attaques depuis début janvier 2015. Les attaques les plus courantes répertoriées ont été réalisées grâce à des logiciels piégés, malveillants, des systèmes d’usurpation d’identité ou de rançonnage des données. Les banques sont quant à elles loin d’être épargnées : les récentes cyberattaques qui ont visé le réseau interbancaire Swift l’ont démontré.
Le sujet, au coeur des préoccupations du superviseur des banques européennes, a déjà conduit à un renforcement des contrôles dans les établissements et il devrait s’intensifier. « Avec le superviseur unique, nous avons conduit une dizaine d’enquêtes sur place, ainsi que des tests d’intrusion [dans les systèmes informatiques des banques]. C’est une première. Cet exercice a vocation à se reproduire », a confirmé Marc Andries. Par ailleurs, la BCE a aussi appelé les banques qu’elle contrôle à lui rapporter les cyberattaques dépassant un certain seuil. En test cette année, ce dispositif doit être généralisé en 2017.
Renforcer les investissements
Pour faire réellement reculer la menace, le superviseur se tourne aussi vers les banques et les compagnies d’assurances pour qu’elles revoient leurs pratiques. « L’engagement des dirigeants doit être très clair sur ces sujets. Par ailleurs, il y a un enjeu de clarification des responsabilités, le superviseur aimerait bien avoir un interlocuteur unique par banque pour parler de cybersécurité », a indiqué Marc Andries. Au-delà d’être un interlocuteur privilégié, ce dernier doit aussi être doté d’une certaine indépendance, « pour formuler un droit de veto en cas de risque majeur pour la sécurité de l’établissement », estime l’ACPR.
Autre point d’attention : les budgets liés à l’investissement dans la sécurisation des systèmes informatiques, qui sont jugés trop « ponctuels ». Le sujet est d’autant plus important qu’aux yeux des régulateurs, l’ « obsolescence » de certains systèmes d’informations des banques est « préoccupante ».
Sharon Wajsbrot, Les Echos
Fonte: