La BCE invite les banques à améliorer leur cyber-résilience : un potentiel d'amélioration identifié

La Banque centrale européenne appelle les banques à renforcer la préparation et la résilience face aux cyberattaques majeures. Dans son premier test pour évaluer la vulnérabilité du secteur financier face à la menace croissante des hackers, la BCE a identifié des opportunités significatives d'amélioration dans la capacité des banques à réagir à de tels scénarios. Le test de résistance de la BCE a montré que, bien que des cadres de réaction et de récupération hautement développés soient déjà en place, des marges d'amélioration subsistent. Anneli Tuominen, membre du Conseil de surveillance de la BCE, qui surveille les principales institutions financières de la zone euro, a souligné cet aspect. Au cours des deux dernières années, les banques occidentales, en particulier, ont connu une augmentation des cyberattaques. Cela est en partie dû à des hackers russes réagissant aux sanctions imposées dans le cadre de la guerre en Ukraine. De plus, le recours à l'intelligence artificielle a accru le nombre et la complexité des attaques. Tuominen a mis en avant l'importance de la cyberrésilience et a mentionné une panne informatique mondiale chez CrowdStrike, qui a montré comment des incidents dans une institution peuvent affecter plusieurs secteurs. La BCE a souligné que son test examinait la réponse des banques à une cyberattaque réussie et non leur capacité à la prévention. 109 banques ont participé au test, au cours duquel leur capacité de réaction à des cyberattaques sévères a été évaluée à travers des questionnaires et des exigences documentaires. Sur les 28 banques représentant un échantillon du secteur, des tests approfondis ont été menés, incluant des tests de récupération informatique et des visites sur site par les superviseurs de la BCE. Les résultats du test seront intégrés au processus annuel de revue et d'évaluation de la surveillance de la BCE, qui évalue les risques de chaque banque et fixe les exigences en matière de fonds propres. Toutefois, un impact direct sur le montant de capital requis n'est pas attendu. En plus de la planification de la gestion de crise et de la continuité des activités au sein des banques, leur capacité de communication avec des parties externes, telles que les clients, les forces de l'ordre et les prestataires de services, a également été examinée. Celles-ci devaient démontrer qu'elles étaient en mesure de mettre en œuvre des mesures de contournement, de restaurer des données critiques et de collaborer avec des tiers clés. La BCE a noté que les autorités de surveillance ont fourni des retours individualisés à chaque institution et continueront à les accompagner en conséquence. Certaines banques ont déjà entrepris des mesures pour corriger les déficiences identifiées lors du test. La détection et la correction des vulnérabilités dans la résilience opérationnelle des banques, notamment en ce qui concerne les risques cybernétiques, restent une priorité de la supervision bancaire de la BCE pour les deux prochaines années, après avoir constaté une augmentation notable du nombre et de la sophistication des cyberattaques. En octobre, Lloyd's de Londres a averti qu'une cyberattaque significative sur un système de paiement mondial pourrait coûter 3,5 trillions de dollars à l'économie mondiale. Au début de l'année, la plus grande banque d'Espagne, Santander, a été frappée par une cyberattaque affectant les données de clients en Espagne, au Chili et en Uruguay. Quelques semaines plus tard, les données de millions de clients et d'employés, y compris des informations de compte et de cartes de crédit, ont été mises en vente sur un forum de hackers. Selon l'entreprise de cybersécurité Sophos, le nombre d'attaques par rançongiciel dans le secteur financier a augmenté de 64 % l'année dernière par rapport à l'année précédente. En novembre, la filiale new-yorkaise de la plus grande banque chinoise, ICBC, a été la cible d'une attaque par rançongiciel qui a perturbé le marché des bons du Trésor américain de 25 trillions de dollars.