Recevez chaque jour toute l'actualité du numérique

x

Appel à la création d'un cadre européen de coordination des cyberattaques dans le secteur financier

Vu ailleurs Un futur cadre de gestion des cyberattaques dans le secteur financier (banque, assurance et marché) pourrait bientôt voir le jour. C'est en tout cas ce qu'appelle de ses voeux le Comité européen du risque systémique dans une recommandation. 
Twitter Facebook Linkedin Flipboard Email
×

Appel à la création d'un cadre européen de coordination des cyberattaques dans le secteur financier
Appel à la création d'un cadre européen de coordination des cyberattaques dans le secteur financier © Quinton Coetzee/Unsplash

Le Comité européen du risque systémique (CERS), une instance chargée de la surveillance du système financier de l'Union européenne, a publié le 27 janvier une recommandation visant à créer "un cadre paneuropéen de coordination des cyberincidents systématiques", ou "EU-SCICF". Le document, repéré par Les Echos, recommande aux autorités bancaires de chaque Etat membre de mieux se coordonner pour lutter contre les attaques informatiques visant le secteur de la banque, des assurances et du marché financier.

Déstabiliser le système financier
Comme le rappelle le CERS, le secteur financier s'appuie sur des technologies de l'information qui dépendent fortement de "la confidentialité, de l'intégrité et de la disponibilité des données et des systèmes qu'il utilise". Les hackers ont la possibilité de dérober ces informations sensibles et donc de "détruire la confiance dans le système financier", ce qui engendre "un risque systémique" (la menace d'une dégradation brutale du système financier liée à un événement).

En pratique, le nombre de cyberincidents signalés à la Banque centrale européenne (BCE) a augmenté de 54% en 2020, comparé à l'année 2019. Les autorités financières doivent donc mieux se coordonner pour répondre efficacement à cette menace et de maintenir la stabilité du système. "Une coordination et une communication rapides entre les autorités compétentes au niveau de l'Union peuvent aider à l'évaluation précoce de l'impact d'un cyberincident majeur sur la stabilité financière (…)", explique le régulateur financier dans sa recommandation. 

Pas d'autorité chef de fil 
Aujourd'hui, les organismes financiers n'ont pas d'autorité chef de file en matière de cybersécurité. Cette fragmentation pose nécessairement un risque en cas d'incident de sécurité d'ampleur. L'Autorité bancaire européenne (EBA), l'Autorité européenne des marchés financiers (ESMA) et l'Autorité européenne des assurances et des pensions professionnelles (Eiopa) ont publié un communiqué commun le 27 janvier dernier dans lequel elles accueillent "favorablement" la création d'un nouveau cadre de coordination. "Cela favorisera une réaction efficace et coordonnée au niveau de l'UE en cas de cyberincident transfrontalier majeur susceptible d'avoir une incidence systémique sur le secteur financier de l'Union", ont-elles écrit.

L'instauration d'une coopération entre les autorités passe tout d'abord par la mise en place d'un cadre de surveillance et d'analyse du "cyber-risque systémique". Des stress tests doivent également être réalisés pour "montrer comment les institutions systémiques de système financier réagiraient et se remettraient". Les autorités doivent au préalable fixer "un niveau acceptable de perturbation des systèmes opérationnels qui assurent des fonctions économiques critiques".

Partage d'informations, classification commune...
Les autorités doivent également s'entendre sur le partage d'information grâce à la mise en place d'un vocabulaire commun, d'une classification des incidents et canaux de communication sécurisés. Elles doivent ensuite se mettre d'accord sur le rôle de chacun en cas de cyberincident (qui est responsable...). 

La Commission européenne planche sur ce sujet et a présenté le projet de règlement "Digital Operational Resilience Act" (DORA) qui vise à renforcer la gestion des risques cyber du secteur financier. Fin 2021, la commission des affaires économiques du Parlement européen (ECON) a adopté une commission commune sur ce texte. La présidence française du Conseil de l'UE espère désormais parvenir à un accord avant l'été. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.