Les régulateurs européens prônent la coordination contre les cyber-attaques

Avec le développement continu des technologies de l’information dans le secteur des services financiers, que ce soit par exemple via les systèmes de paiement mobiles et en ligne ou le trading algorithmique, les risques informatiques et de cyber-attaque s’imposent comme une préoccupation majeure pour l’industrie financière européenne. C’est le rappel que fait le forum des régulateurs européens (Esma, EBA, Eiopa) dans son cinquième rapport sur les risques et vulnérabilités du système financier.

Les conséquences peuvent être sévères d’un point de vue opérationnel : mise hors service des systèmes à la suite d’une attaque par déni de service (DDoS), vol de données ou fraude caractérisée.

Avec à la clé des dommages qui se feront sentir à plus long terme, en termes de réputation, de fuite de clientèle, de décollecte ou de perte de revenus. Selon le rapport, les pressions qui pèsent sur les coûts des établissements financiers peuvent empêcher certain d’entre eux de maintenir à niveau leurs infrastuctures informatiques et de s’engager sur des programmes d’investissement. Dans les faits, la prise en compte de ces risques devient pourtant de plus en plus prégnante parmi les acteurs du marché. D’après le questionnaire d'évaluation du risque (RAQ) piloté par l’EBA en décembre dernier, trois quarts des répondants disaient avoir accru leurs investissements dans la résilience et la sécurité des systèmes IT. Plus d’un sur deux (58%) prévoyait en outre de renforcer la gouvernance et la culture du risque sur ces questions.

Le forum insiste sur la nécessité de multiplier les contrôles et les audits. «En particulier, les autorités nationales compétentes devraient exiger des entités qu’elles fixent des limites de tolérance pour leurs risques opérationnels majeurs», écrit le groupement de régulateurs. D’ailleurs, il relève que la supervision des enjeux IT se concentre essentiellement à un niveau national. «La coordination et la coopération des autorités impliquées dans le traitement des risques IT devraient être renforcées à un niveau européen, et devraient inclure les activités dépendant des équipes de réponse d’urgence informatique (CERT) qui ont été lancées dans certaines juridictions», propose le forum.

Plusieurs groupes bancaires français, dont la Société Générale et le Crédit Agricole animent leurs propres CERT.