La BCE va tester la résistance des banques aux cyberattaques
Les 111 établissements bancaires de l'Union européenne seront soumis à des tests de résistance pour déterminer leur capacité à répondre à une attaque informatique.
Les banques européennes sont-elles suffisamment armées face aux pirates informatiques ? C'est la question que se pose la Banque centrale européenne (BCE), qui va mener l’an prochain des tests de résistance aux cyberattaques. Cette première concernera les 111 établissements supervisés par l’institution francfortoise.
“La progression du nombre d’attaques n’a encore pas provoqué de problèmes opérationnels majeurs au sein des banques européennes, mais il est nécessaire de renforcer les défenses dans le domaine”, souligne Andrea Enria, le président du conseil de surveillance prudentielle de la BCE, interrogé par le journal lituanien Verslo žinios.
Identifier les faiblesses
L’an passé, 74% des institutions financières mondiales ont été ciblées au moins une fois par une attaque par ransomware, selon une étude menée par la société américaine VMware. Et 63% d’entre elles auraient accepté de verser une rançon.
Les tests de résistance européens devront déterminer “comment les banques réagissent en cas de cyberattaque réussie et comment elles sont capables de s’en relever”, poursuit le responsable italien de la BCE. L’institution espère ainsi identifier “les forces et les faiblesses des banques”. Les résultats devraient être publiés mi-2024.
L’une des craintes de la BCE provient de l’utilisation d’outils tiers, potentiellement plus vulnérables. “Beaucoup de banques sous-traitent des fonctions essentielles” à des acteurs “qui sont souvent situés dans d’autres juridictions”, note Andrea Enria. Les banques européennes s’appuient notamment sur de grands groupes américains, par exemple dans le cloud computing. Mais pas seulement, certains sous-traitants étant basés en Inde, “et même en Russie”.
L'avertissement Ion Markets
Cette inquiétude a été renforcée après l’attaque par ransomware, fin janvier, d’Ion Markets, qui a perturbé une partie des échanges sur les marchés financiers. Cette société irlandaise est spécialisée dans le traitement des données de trading. Mais elle n’est pas supervisée aussi fortement que les banques.
L’épisode a “montré qu’une cyberattaque contre un fournisseur de logiciels peut se répercuter sur ses clients”, comme des banques ou des marchés boursiers, souligne Fabio Panetta, membre du conseil d’administration de la BCE. “Nous ne pouvons pas ignorer les scénarios dans lesquels les attaques se propagent rapidement et perturbent le système financier”.
La BCE n’est pas la seule banque centrale à prendre ce risque au sérieux. Aux États-Unis, la Réserve fédérale réalise régulièrement des tests de résistance, notamment après l’invasion de l’Ukraine par la Russie. La Banque d’Angleterre a aussi testé son système de paiement, mais seulement sur la base du volontariat.
