Liste actualité
InterventionDiscours

Cybersécurité : le G7 doit agir pour une protection coordonnée du secteur financier

Mesdames et Messieurs,

Je voudrais tout d’abord remercier les modérateurs et les panélistes pour la richesse de leurs commentaires ainsi que pour les idées très utiles qu’ils ont présentées. Nous sommes tous convaincus que la cyber-sécurité du secteur financier restera longtemps à l’ordre du jour. Le défi n’est plus de faire naître une prise de conscience, mais de trouver les moyens d’intensifier et de rationaliser notre action.

Sur la base des discussions menées aujourd’hui, je souhaiterais tout d’abord évoquer une condition préalable indispensable – la coordination – avant de proposer des mesures concrètes et des actions tangibles afin d’améliorer notre coopération dans trois domaines : I. La réglementation et la supervision ; II. L’information ; III. La préparation.

A. Une action coordonnée face à des menaces mondiales

Le panel 1 s’est interrogé sur l’importance des cyber-menaces pour le secteur financier. Il est largement admis que le niveau des cyber-menaces n’a jamais été aussi élevé, mais force est de constater, dans le même temps, que la capacité à anticiper les attaques doit être renforcée. Après une attaque, il faut remédier aux problèmes potentiels de contagion à l’ensemble du système financier ou à l’ensemble de l’économie. C’est pourquoi la coordination est une condition préalable, pas simple mais indispensable. Restons réalistes cependant, il n’y aura pas d’« organisation mondiale pour la cyber-sécurité » et ce, pour des raisons évidentes, notamment de confiance. Par conséquent, la coordination devrait être interjuridictionnelle. En raison de l’interconnexion des systèmes financiers de nos pays, la contagion peut être mondiale. Cela rejoint le vœu d’un « Internet de la confiance » formulé par le président Emmanuel Macron au Forum UNESCO en novembre 2018, avec pour objectif notamment d’aider les pays à faible revenu à suivre le rythme des pays développés. Le FMI et la Banque mondiale sont encouragés à poursuivre le développement de leurs programmes d’assistance. En outre, la coordination devrait être intersectorielle. Le secteur financier n’est pas le seul concerné par les cyber-attaques. D’autres secteurs critiques, dont certains sont essentiels au fonctionnement du secteur financier, sont également menacés. Cela renforce l’importance d’une approche intersectorielle. Les agences de sécurité nationales l’utilisent déjà, et les autorités du secteur financier pourraient faire de même à leur niveau, en tenant compte des éléments fondamentaux qui seront déterminés par le groupe d’experts de la cybersécurité du G7 [G7 CEG Fundamental elements].

Enfin, il devrait y avoir une coordination entre autorités, avec les agences de sécurité nationales. Comme évoqué dans le panel 1, ces agences ont pour rôle de protéger des cyber-attaques les secteurs économiques critiques des pays, y compris le secteur financier. Les autorités financières ont pour rôle de superviser la capacité du secteur financier à gérer ses risques, notamment les cyber-risques. Autorités et agences ont donc un intérêt mutuel à la coordination.

B. Trois domaines concrets d’amélioration de notre coordination

I. La réglementation et la supervision

Je souhaiterais débuter par la question de la réglementation, qui a été traitée par le panel 2. Une difficulté avec la réglementation est de parvenir à un bon équilibre. La réglementation est nécessaire, indépendamment du degré de sensibilisation et d’autodiscipline des institutions. Mais trop de réglementation peut mener à un relâchement de l’autodiscipline et transformer les efforts des institutions en un exercice de conformité.

Depuis 2015, les questions de cyber-sécurité suscitent une attention croissante, et les régulateurs ont produit un grand nombre de textes réglementaires, tant au niveau national qu’international. Cela était nécessaire pour susciter la réaction et les efforts appropriés de la part du secteur, et lui permettre ainsi de renforcer ses dispositifs de protection. Néanmoins, on peut se demander si la multiplication de nouvelles réglementations ne risque pas d’avoir un effet contre-productif. D’après les interventions des panélistes, deux questions doivent être traitées :

  • Premièrement, nous devons éviter le risque de prolifération de textes produits par les instances de normalisation dans les domaines bancaire, des paiements, des services liés aux titres, de l’assurance et/ou des marchés financiers. Le Conseil de stabilité financière (CSF) l’a déjà démontré en dressant un état des lieux en 2017. Les régulateurs sont sensibles aux cyber-risques et, bien qu’ils partagent les mêmes objectifs, leurs textes réglementaires tendent à différer, ce qui alourdit la tâche des entreprises en termes de conformité aux diverses réglementations, avec un faible gain marginal. Réduire les multiples variantes, d’une institution à l’autre, dans la formulation des exigences favoriserait une plus grande clarté. Les régulateurs pourraient ainsi rationaliser leurs efforts et utiliser leurs experts de manière plus efficace.  

Comment peut-on mieux coordonner la réglementation ? Une réglementation « fondée sur des principes » en matière de cyber-sécurité est, à l’évidence, préférable à des normes de plus en plus contraignantes, « fondées sur des règles » trop rigides. La supervision complète la réglementation. La réglementation fondée sur des principes donnerait aux superviseurs une marge de manœuvre pour moduler leurs attentes en matière de profil de risque des institutions.

  • Mais, alors, il faudrait également être attentif au risque d’arbitrage réglementaire. Des différences de réglementation peuvent créer des opportunités. Si toutes les réglementations ne sont pas alignées les unes sur les autres, certains agents privés pourraient (dé)localiser leurs systèmes informatiques dans des juridictions moins exigeantes. C’est pourquoi nous avons besoin de textes réglementaires internationaux homogènes d’une portée la plus large possible.

Qui pourrait jouer le rôle moteur de cette coordination de la réglementation en matière de cyber-sécurité ? Le groupe d’experts du G7 y est remarquablement parvenu avec la définition des « éléments fondamentaux », mais ce groupe n’a pas le rôle d’instance de normalisation et ses textes ont uniquement vocation à guider les régulateurs dans leurs travaux. Je suis convaincu que le CSF est le mieux placé pour engager le dialogue avec les diverses instances de normalisation afin de favoriser l’alignement de leurs textes, leur donner une portée mondiale, et limiter la prolifération des groupes de travail.

II. L’information

Les cyber-menaces sont en augmentation, mais il est difficile de les mesurer de manière adéquate et cohérente. Je souhaiterais par conséquent vous soumettre deux propositions :

S’agissant de la déclaration des incidents. De nombreuses obligations de déclaration des cyber-incidents sont apparues, à la demande de différentes autorités. Mais ces rapports d’incidents fournissent peu d’informations pour mesurer l’intensité et le degré de sophistication des menaces ainsi que leur évolution. Les indicateurs demandés varient d’un rapport à l’autre et cela limite le champ du diagnostic et les comparaisons. Les institutions elles-mêmes peuvent avoir des difficultés à transmettre les informations relatives à leurs incidents sous différents formats et avec des renseignements différents aux diverses autorités responsables. Le CSF s’est accordé sur un
« cyber-lexique »[1]. Comme nous l’avons fait par le passé pour le risque opérationnel, je recommande que nous travaillions à une classification commune des cyber-incidents afin de mieux mesurer les impacts des attaques et de mieux comprendre leur évolution.

S’agissant du partage d’informations et du renseignement sur la menace (threat intelligence). Comme l’a montré le panel 4, peu d’informations sur la cyber-sécurité sont réellement partagées, pour des questions de sensibilité et de confiance. Une approche pragmatique consiste, pour les autorités financières, à s’engager de manière bilatérale dans des Protocoles d’accord avec les autorités avec lesquelles elles partagent une confiance mutuelle. Singapour et Hong Kong ont déjà ouvert la voie. Cela peut être réalisé entre les pays du G7 ainsi qu’avec d’autres pays de confiance.

 

III. La préparation de la gestion des cyber-crises grâce à des exercices à grande échelle

Le troisième panel a montré à quel point les simulations de crise sont précieuses pour constituer une capacité opérationnelle préparatoire. Les exercices organisés jusqu’à présent, au niveau domestique ou régional, nous ont permis d’acquérir une expérience en matière de coordination de la réaction et du rétablissement au cours d’un incident majeur. Notre ambition doit être aussi grande que les risques auxquels sont exposés nos systèmes financiers évolutifs et interconnectés, en raison de cyber-attaques de plus en plus sophistiquées. En d’autres termes, et c’est quelque chose qui est clairement ressorti de nos discussions d’aujourd’hui, une approche plus globale des exercices de cyber-résilience est nécessaire.

À cet égard, permettez-moi d’insister brièvement sur l’exercice conjoint de gestion de crise du G7 qui se déroulera début juin, sous la coordination de la Banque de France. Nous aurons là une excellente occasion d’évaluer notre capacité à échanger des informations et à prendre des décisions collectives dans une situation de crise fictive. Une communication efficace et claire sera essentielle, soulignant le rôle crucial du protocole de communication élaboré à cet effet.

Mais les préparatifs pour se prémunir contre une cyber-attaque sont une cible mouvante. Plusieurs pistes doivent être explorées.

  • Premièrement, si cet exercice est nécessaire en soi, il produira pleinement ses effets uniquement si tous les enseignements en sont correctement tirés. Certains principes directeurs fondamentaux, ou « Éléments fondamentaux », qui seront élaborés à la suite de l’exercice du G7 contribueront à atteindre cet objectif.
  • Deuxièmement, nous devons nous appuyer sur cet exercice du G7 : la conduite régulière d’exercices coordonnés de gestion des crises doit être encouragée afin d’améliorer la résilience du système financier.
  • Troisièmement, un élargissement au-delà des pays du G7 doit être envisagé avec certaines autres juridictions et/ou l’implication de la BRI, et éventuellement au-delà des seuls acteurs du secteur financier. Pour les futurs exercices, le format actuel nécessitera des accords de coopération à plus grande échelle.

**

La réglementation et la supervision, l’information et la préparation, voilà les domaines dans lesquels nous devons clairement améliorer notre coordination. Je souhaiterais conclure par un dernier impératif : l’action. Nous sommes tous d’accord sur les principes, mais il y a aujourd’hui dans cette conférence un sentiment d’urgence, d’urgence concrète. C’est là que la Présidence française du G7 entend être utile :

  • Premièrement, en donnant une plus grande visibilité et en soutenant les travaux du CEG qui va présenter des études importantes sur la coordination intersectorielle et l’évaluation des vulnérabilités.
  • Deuxièmement, en proposant, lors de la réunion des ministres des Finances et des gouverneurs de banques centrales à Chantilly en juillet, de s’engager sur trois actions supplémentaires :
    • en ce qui concerne la réglementation, mandater le CSF pour gérer la prolifération des textes réglementaires ;
    • en matière d’information, définir, avec le groupe d’experts de la cybersécurité du G7 [CEG] une classification des cyber-incidents ;
    • s’agissant de la préparation, dresser un bilan des enseignements du premier exercice conjoint de gestion de crise du G7 et se tenir prêt à l’étendre le cas échéant.

Dans le secteur financier, il n’existe pas de menace plus certaine que celle des cyber-risques. Et il n’y a pas de périmètre plus adapté que le G7 pour y faire face, même si celui-ci n’est pas exclusif. Nous ne pouvons pas nous permettre d’attendre ; agissons, ensemble.

 

 

[1] CSF, 12 novembre 2018.

Télécharger la version PDF du document

DiscoursFrançois VILLEROY DE GALHAU, Gouverneur de la Banque de France
Cybersécurité : le G7 doit agir pour une protection coordonnée du secteur financier
  • Publié le 10/05/2019
  • FR
  • PDF (230.38 Ko)
Télécharger (FR)