Appel à la création d'un cadre européen de coordination des cyberattaques dans le secteur financier

Un futur cadre de gestion des cyberattaques dans le secteur financier (banque, assurance et marché) pourrait bientôt voir le jour. C'est en tout cas ce qu'appelle de ses voeux le Comité européen du risque systémique dans une recommandation. 

Partager
Appel à la création d'un cadre européen de coordination des cyberattaques dans le secteur financier

Le Comité européen du risque systémique (CERS), une instance chargée de la surveillance du système financier de l'Union européenne, a publié le 27 janvier une recommandation visant à créer "un cadre paneuropéen de coordination des cyberincidents systématiques", ou "EU-SCICF". Le document, repéré par Les Echos, recommande aux autorités bancaires de chaque Etat membre de mieux se coordonner pour lutter contre les attaques informatiques visant le secteur de la banque, des assurances et du marché financier.

Déstabiliser le système financier
Comme le rappelle le CERS, le secteur financier s'appuie sur des technologies de l'information qui dépendent fortement de "la confidentialité, de l'intégrité et de la disponibilité des données et des systèmes qu'il utilise". Les hackers ont la possibilité de dérober ces informations sensibles et donc de "détruire la confiance dans le système financier", ce qui engendre "un risque systémique" (la menace d'une dégradation brutale du système financier liée à un événement).

En pratique, le nombre de cyberincidents signalés à la Banque centrale européenne (BCE) a augmenté de 54% en 2020, comparé à l'année 2019. Les autorités financières doivent donc mieux se coordonner pour répondre efficacement à cette menace et de maintenir la stabilité du système. "Une coordination et une communication rapides entre les autorités compétentes au niveau de l'Union peuvent aider à l'évaluation précoce de l'impact d'un cyberincident majeur sur la stabilité financière (…)", explique le régulateur financier dans sa recommandation.

Pas d'autorité chef de fil
Aujourd'hui, les organismes financiers n'ont pas d'autorité chef de file en matière de cybersécurité. Cette fragmentation pose nécessairement un risque en cas d'incident de sécurité d'ampleur. L'Autorité bancaire européenne (EBA), l'Autorité européenne des marchés financiers (ESMA) et l'Autorité européenne des assurances et des pensions professionnelles (Eiopa) ont publié un communiqué commun le 27 janvier dernier dans lequel elles accueillent "favorablement" la création d'un nouveau cadre de coordination. "Cela favorisera une réaction efficace et coordonnée au niveau de l'UE en cas de cyberincident transfrontalier majeur susceptible d'avoir une incidence systémique sur le secteur financier de l'Union", ont-elles écrit.

L'instauration d'une coopération entre les autorités passe tout d'abord par la mise en place d'un cadre de surveillance et d'analyse du "cyber-risque systémique". Des stress tests doivent également être réalisés pour "montrer comment les institutions systémiques de système financier réagiraient et se remettraient". Les autorités doivent au préalable fixer "un niveau acceptable de perturbation des systèmes opérationnels qui assurent des fonctions économiques critiques".

Partage d'informations, classification commune...
Les autorités doivent également s'entendre sur le partage d'information grâce à la mise en place d'un vocabulaire commun, d'une classification des incidents et canaux de communication sécurisés. Elles doivent ensuite se mettre d'accord sur le rôle de chacun en cas de cyberincident (qui est responsable...).

La Commission européenne planche sur ce sujet et a présenté le projet de règlement "Digital Operational Resilience Act" (DORA) qui vise à renforcer la gestion des risques cyber du secteur financier. Fin 2021, la commission des affaires économiques du Parlement européen (ECON) a adopté une commission commune sur ce texte. La présidence française du Conseil de l'UE espère désormais parvenir à un accord avant l'été.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS