Les banques françaises s’organisent face au risque cyber
Rassurant.Malgré quelques absences, la Place financière de Paris a mené mi-juin un exercice de cyberattaque contre les principaux groupes bancaires «dont les objectifs ont été atteints». Précisément, il s’agissait de simuler une attaque sur le système d’information de certaines banques avec des effets sur les virements, la liquidité, les paiements de gros montants entre acteurs financiers et les activités de marché. L’exercice a mobilisé 24 entités et 800 participants. «Les mécanismes internes visés et les mécanismes de Place ont pu être déclenchés, des réponses appropriées et rapides ont été apportées à la situation exceptionnelle que le scénario décrivait», explique la Banque de France, qui a piloté l’exercice.
Un exercice qui arrive à point nommé : «Nous avons vu dans nos statistiques de façon très massive à partir de fin mars, précisément deux semaines après la mise en place du télétravail, une hausse des attaques issues de pays non européens, très significative», illustre Julien Gueguen, responsable de la sécurité des systèmes d’informations du groupe Crédit Mutuel Arkéa. L’explication est toute trouvée pour Marc Andries, responsable du réseau d’experts sécurité informatique de l’Autorité de contrôle prudentiel et de résolution (ACPR), le superviseur français. «La pandémie Covid-19 a précipité une pratique massive de télétravail dans les entreprises, ce qui a fait apparaître de nouvelles vulnérabilités, explique-t-il. La surface d’attaque informatique des entreprises s’est ainsi accrue, car les modalités d’accès à distance des collaborateurs au système d’information des entreprises n’étaient pas toujours au meilleur niveau de protection, et aussi parce que ces accès ont parfois été rendus possibles depuis des équipements personnels.»
Le danger n’est pas nouveau. «Une attaque peut survenir à tout moment et les entreprises doivent avoir conscience qu’elles peuvent être plus particulièrement visées lors de certains temps forts, comme les assemblées générales. Extérieurs à leurs organisations, certains événements significatifs ou mouvements de protestation, comme les manifestations des Gilets jaunes, sont également susceptibles de déclencher des attaques», rapporte Bernard Gavgani, global chief information officer chez BNP Paribas.
«Le niveau d’aujourd’hui ne sera pas le niveau de demain»
«Nous considérons que les systèmes d’information bancaires sont bien plus matures que beaucoup d’industries. Premières victimes d’attaques, elles ont dû se renforcer assez rapidement», se rassure Michaël Bittan, responsable des activités cybersécurité d’Accenture en France. Globalement, elles consacrent entre 8% et 10% de leur budget informatique à la question. Les intéressés restent très prudents sur leur organisation, craignant de donner des indices aux pirates. «Nous mettons toutes les mesures en place afin d’éviter une propagation en cas d’attaque ; à titre d’exemple des sas sont créés spécifiquement à cet effet. Par ailleurs, nos systèmes intègrent la possibilité de recréer l’ensemble des données pour le cas où les back-up ne seraient pas suffisants. Enfin, nous sensibilisons nos collaborateurs en interne en partageant avec eux des mails de type frauduleux afin qu’ils puissent à l’avenir les identifier plus facilement», précise Bernard Gavgani. Un autre responsable de sécurité informatique explique à L’Agefi miser sur le hacking éthique, qui permet de simuler des attaques de pirates pour repérer les points faibles des systèmes de sécurité.
Michaël Bittan dresse néanmoins un tableau qui diffère selon les acteurs : «Les grandes banques sont bien protégées. Les banques régionales, qui appartiennent à un grand groupe avec un organe centralisé qui ne préconise que les solutions (sans une obligation de mise en œuvre) ont un niveau moins élevé mais en nette progression. Les petites banques privées ont un niveau très perfectible qui ne tiendrait pas longtemps face aux cyberattaques qu’on peut constater chez les banques systémiques.» Globalement toutefois, «la menace évolue trop rapidement du fait des ransomware qui nourrissent des alliances criminelles très puissantes avec beaucoup de fonds. Si les banques sont à un bon niveau, le niveau d’aujourd’hui ne sera pas celui de demain ».
La vraie crainte partagée discrètement par toutes est d’être la première banque qui verra sa défense percée par une attaque. Comme le résume Julien Gueguen, «personne ne comprendrait qu’une banque soit piratée».
La question réglementaire
En attendant, les contrôles sont fréquents. «Le mécanisme de supervision européen piloté par la BCE, auquel participe l’ACPR, est très attentif au risque informatique et cyber. En nombre, les inspections sur place consacrées à ce sujet viennent chaque année depuis 2017 en troisième place derrière le risque de crédit et les sujets de gouvernance ou de contrôle interne», détaille Marc Andries. Cela donne lieu à un rapport d’inspection puis à des recommandations selon l’écart avec les réglementations, et à un suivi jusqu’à la mise en place des corrections.
Depuis 2017, les banques ont dû intégrer trois grands textes : la deuxième directive sur les services de paiement (DSP2), le règlement européen sur la protection des données personnelles (GDPR), et la directive Network and Information Security (NIS), qui a élargi à de nombreuses entreprises l’obligation de renforcer leur cybersécurité dans la veine de la loi de programmation militaire (LPM). Mais des limites existent encore. «Les banques sont aussi composées d’activités jugées non vitales qui requièrent pourtant au moins autant d’intérêt», juge le responsable informatique d’un grand groupe français. «Une banque ne peut pas riposter à une attaque», déplore de son côté Bernard Gavgani, alors que Julien Gueguen estime que «la pression réglementaire grève la capacité d’innovation et d’agilité». Même si, selon les deux experts, cette réglementation permet au secteur d’être l’un des plus avancés dans le domaine.
Plus d'articles du même thème
-
La France a les atouts pour relancer sa compétitivité
Les très grandes entreprises nationales affichent des gains de productivité plus élevés que dans le reste de l’Europe, grâce essentiellement à leur croissance et non par des réductions d’effectifs. En revanche, la France manque cruellement d’entreprises innovantes parmi ses grands champions. -
PARTENARIATRéindustrialisation : reconstruire une souveraineté durable
Réindustrialiser l’Europe ne signifie pas seulement relocaliser la production. Pour reconstruire une souveraineté industrielle durable, encore faut-il financer les bons maillons, disposer de foncier, de compétences, d’infrastructures logistiques et d’une vision de long terme. C’est autour de ces enjeux que se sont articulés les échanges du dernier atelier du groupe de travail “Souveraineté et durabilité : le nouveau couple européen”, co-fondé par Edmond de Rothschild Asset Management dans le cadre du Think Tank “2030, Investir Demain”. -
Le rapport de la Commission sur la compétitivité bancaire peine à convaincre
Le document a été présenté et publié vendredi. Si le diagnostic est consensuel, les remèdes évoqués font débat. Pour Maria Luis Albuquerque, commissaire chargée des services financiers et de l’Union de l’épargne et des investissements, la tâche à venir la plus ardue sera de parvenir à changer les mentalités.
ETF à la Une
GMO met au point un ETF dédié aux infrastructures face à la forte croissance du secteur de l'électricité
- Les créanciers d’Altice International contre-attaquent
- L'Inspection générale des affaires sociales dénonce le statut des contrats collectifs en santé
- Axa sort du capital d’Ardian au profit des Assurances du Crédit Mutuel et de Wafra
- BlackRock dépasse les 15.000 milliards de dollars d’encours sous gestion
- Les banques françaises ont le sort de Casino entre leurs mains
Contenu de nos partenaires
-
Absurdistan« Beaucoup plus vulnérables » : quand les normes de l'UE freinent l'action des pompiers français
La Fédération nationale des sapeurs-pompiers de France alerte sur l'impact défavorable de plusieurs normes environnementales sur leurs camions -
MédicamentsVers une baisse du prix du paracétamol ? 30 millions d’économies en jeu pour l’Assurance maladie
L’exécutif étudie une baisse de 10 centimes par boîte du prix du paracétamol. Une idée qui ferait économiser 30 millions d’euros à l’Assurance maladie sur un an -
Quitte ou doubleLa loi d'urgence agricole place Sébastien Lecornu sous pression maximale
Le sort du projet de loi destiné à venir en aide aux agriculteurs est suspendu à un article permettant le retour de l'acétamipride. Les députés du groupe de Gabriel Attal demandent au Premier ministre de tenir ses engagements et de sortir du texte la question des pesticides