Le risque cyber

Le risque cyber est l’une des principales sources de risque opérationnel. Il fait l’objet d’une attention de plus en plus grande des régulateurs, compte tenu des conséquences potentielles très invalidantes pour les infrastructures d’un incident cyber majeur. Selon le Rapport sur la cyber­-résilience des infrastructures de marché, publié en novembre 2014 par la Banque des règlements internationaux (BRI), les cybermenaces sont définies comme « une circonstance ou un événement pouvant potentiellement exploiter, de manière intentionnelle ou non, une ou plusieurs vulnérabilités des systèmes d’une infrastructure, se traduisant par une perte de confidentialité, d’intégrité ou de disponibilité des données ».

Cadre de surveillance

Les cyber­attaques, avec un risque extrême comme la corruption des données ou l’impossibilité d’accéder au système (distributed denial of service – DDoS) sont susceptibles de contraindre l’infrastructure à arrêter toute activité, l’empêchant de remplir son rôle crucial vis-à-vis de ses participants. Les cyber­attaques de cette nature présentent un véritable défi pour les infrastructures en compliquant l’atteinte de l’objectif d'un retour à la normale des opérations (return to operations – RTO) dans un délai de deux heures, qui est un objectif général fixé par les Principes pour les infrastructures de marchés financiers (PFMI) de CPMI-IOSCO de 2012, compte tenu, par exemple dans le cas d’une corruption de données, de la nécessité  : i) d’identifier un point de reprise possible ; ii) de restaurer les données saines avant ce point et iii) et de traiter à nouveau toutes les opérations arrivées dans le système après le point de reprise.

Pour décliner de façon plus détaillée les attentes en la matière, une orientation sur la cyber-­résilience des infrastructures de marché a été publiée en 2016 par le CPMI et l’IOSCO (Organisation internationale des commissions de valeurs). Ils complètent ainsi les attentes générales sur la gestion du risque opérationnel (cf. PFMI publiés en 2012). L’Eurosystème, qui a un rôle majeur dans la surveillance des infrastructures de marché, a publié fin 2018 les cyber resilience oversight expectations (CROE), et défini trois niveaux de maturité en reprenant de façon plus opérationnelle l’ensemble des attentes de l’orientation CPMI-IOSCO de 2016. Plus une infrastructure de marché est systémique, plus le niveau de maturité attendu est élevé.

Ces préconisations pour la cyber-résilience des infrastructures des marchés financiers, se déclinent en neuf volets.

  1. Gouvernance.
  2. Identification des risques.
  3. Protection.
  4. Détection.
  5. Rétablissement.
  6. Tests.
  7. Veille.
  8. Apprentissage.
  9. Évolution.

L’objectif est de fournir une démarche méthodologique et des outils pour permettre aux infrastructures des infrastructures des marchés financiers de renforcer leur résilience au regard des cybermenaces.

Enfin, le règlement européen DORA sur la résilience opérationnelle numérique du secteur financier, adopté fin 2022, et qui entrera en vigueur à partir de janvier 2025, vise à faire en sorte que pratiquement toutes les entités du secteur financier (banques , assurances, administrateurs des indices de référence, prestataires de services et émetteurs de crypto-actifs), mettent en place les garanties nécessaires pour atténuer les risques liés aux cyberattaques.

Le règlement vise notamment à imposer à toutes les entreprises de :

  • mettre en place les mesures aptes à résister à tous les types de perturbations et de menaces liées aux technologies de l’information et de la communication (TIC) ;
  • mettre en place un dispositif de gestion, de classification et de notification des incidents liés aux TIC ;
  • conduire régulièrement, pour les entités les plus systémiques, des tests avancés d’outils, de systèmes et de processus de TIC sur la base de tests de pénétration fondés sur la menace (ou red teaming).

En complément, le règlement DORA instaure également un cadre de surveillance directe des prestataires informatiques critiques par les superviseurs financiers, y compris par exemple les prestataires de services d’informatique en « nuage » (prestataires de cloud).