Les banques face au défi de la cybersécurité
Imaginez un instant que votre banque soit victime d'une cyberattaque de grande ampleur. Impossible d'accéder à vos comptes, vos données personnelles potentiellement compromises... Un véritable cauchemar ! C'est justement pour évaluer la capacité des banques européennes à faire face à ce type de scénario que la Banque Centrale Européenne (BCE) a réalisé son tout premier "test de résistance sur la cyberrésilience". Plus de 100 établissements bancaires ont ainsi été passés au crible. Verdict ? Si des procédures de réaction existent, il reste encore du chemin à parcourir pour atteindre une cybersécurité optimale, surtout face à l'évolution rapide des menaces.
Un test grandeur nature pour les banques
Depuis janvier dernier, 109 banques de la zone euro ont été soumises à un exercice inédit mené par la BCE : un test de résistance face aux cyberattaques. L'objectif ? Mettre à l'épreuve leur capacité de réaction et de rétablissement en cas d'incident majeur, au-delà des mesures préventives.
Pour cela, les équipes de la BCE ont élaboré un scénario fictif particulièrement complexe :
Un scénario dans lequel toutes les mesures préventives échouaient, tandis qu'une cyberattaque dégradait gravement les bases de données des systèmes centraux de chaque banque.
– La BCE
Face à cette situation de crise virtuelle, chaque banque devait activer ses plans de réponse, communiquer avec ses différentes parties prenantes, analyser les impacts sur ses services et mettre en place des actions d'atténuation. Une vingtaine d'entre elles ont même fait l'objet d'une inspection sur site avec un test de restauration de leurs systèmes informatiques.
Des axes de progrès identifiés
Premier constat de la BCE : les banques disposent globalement de cadres de réponse et de rétablissement de haut niveau. Toutefois, des améliorations restent à apporter sur plusieurs points :
- Les plans de continuité d'activité, qui permettent aux banques de fonctionner après une cyberattaque, ne sont pas suffisamment rôdés dans certains établissements.
- Les scénarios de risques liés à la cybersécurité envisagés par les banques ne sont pas assez larges.
- La communication avec les différents partenaires ainsi que l'estimation des pertes directes et indirectes suite à une cyberattaque doivent être améliorées.
- Les banques doivent mieux évaluer leur dépendance vis-à-vis des prestataires tiers pour leurs systèmes informatiques.
Ces recommandations seront d'ailleurs intégrées au processus d'évaluation annuel des risques des banques mené par le régulateur.
Un contexte de menaces accrues
Cette initiative de la BCE intervient alors que les cybermenaces pesant sur le secteur bancaire n'ont jamais été aussi prégnantes. Au 2ème trimestre 2023, elle a ainsi observé une forte augmentation des incidents déclarés par les banques qu'elle supervise, notamment à cause :
- De l'intensification des tensions géopolitiques, comme la guerre en Ukraine, qui favorise les attaques par des acteurs étatiques.
- De l'essor des attaques par ransomware visant à paralyser les systèmes.
- Du recours croissant à des attaques destructrices plutôt qu'à de "simples" vols de données.
Face à ce contexte préoccupant, renforcer la cyberrésilience est un impératif pour les banques. C'est tout l'enjeu des stress tests et recommandations de la BCE, qui œuvre main dans la main avec les régulateurs nationaux. D'autres pays comme le Royaume-Uni ou le Danemark ont d'ailleurs mené des exercices similaires récemment.
Mais au-delà des tests et des plans, c'est bien une évolution profonde de la culture cyber qui doit s'opérer dans le secteur bancaire. Cela passe par une sensibilisation de tous les collaborateurs aux bonnes pratiques, une intégration de la sécurité dès la conception des services numériques ou encore une collaboration étroite avec les fintechs et autres partenaires technologiques.
Car in fine, c'est bien la confiance des clients et la stabilité du système financier qui sont en jeu. Dans un monde de plus en plus digital, la cybersécurité n'est plus une option mais un prérequis pour les banques. Un défi majeur et permanent qui nécessite une vigilance de tous les instants.