La cybersécurité des institutions financières
Après le Canada en 2018, c’est au tour de la France de prendre la présidence du G7 en 2019. Le ministère de l’Economie et des Finances et la Banque de France organisaient le 10 mai dernier, dans le cadre de cette présidence, une conférence consacrée à la cybersécurité des institutions financières. L’occasion de rappeler une fois de plus que le partage d’informations et les actions coordonnées sont désormais incontournables pour faire face au risque cyber.
Le secteur financier est une cible privilégiée des pirates informatiques. D’après une étude menée par IBM 19% des attaques le cible spécifiquement. Son interconnexion explique que les établissements financiers soient particulièrement exposés aux cyberattaques. En effet, ils sont connectés à tous les secteurs de l’économie. « En raison de l’interconnexion des systèmes financiers de nos pays, la contagion peut être mondiale », précise François Villeroy de Galhau, gouverneur de la Banque de France.
« Le secteur financier n’est pas le seul concerné par les cyberattaques. D’autres secteurs critiques, dont certains sont essentiels au fonctionnement du secteur financier, sont également menacés. Cela renforce l’importance d’une approche intersectorielle. Les agences de sécurité nationales l’utilisent déjà, et les autorités du secteur financier pourraient faire de même à leur niveau, en tenant compte des éléments fondamentaux qui seront déterminés par le groupe d’experts de la cybersécurité du G7 », ajoute-t-il.
Cybersécurité des institutions financières : une préoccupation croissante et urgente
D’après Guillaume Poupard, directeur général de l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information), les motivations des hackers, en ciblant les institutions financières, ne sont pas uniquement pécuniaires. En effet, certains souhaitent « détruire le système pour le rendre complètement indisponible », affirme-t-il. Pour rappel, en janvier 2017, plusieurs banques britanniques ont été victimes d’une attaque par déni de service. Résultat : les services en ligne de Lloyds Bank ont été indisponibles durant deux jours.
« La coopération est difficile mais absolument nécessaire. Elle est difficile car elle exige d’échanger des informations extrêmement sensibles. Notre challenge consiste à instaurer de la confiance entre les différentes parties prenantes », note le patron de l’ANSSI.
Répondre de manière efficace grâce à une approche globale
« La cybersécurité semble être une problématique technique. En réalité elle est politique », estime Bruno Le Maire. « Dans un monde où la part des services digitaux devient de plus en plus importante, la cybersécurité est une préoccupation croissante et urgente ».
Pour le ministre de l’Economie, le plan d’action qui doit être mis en place aujourd’hui pour protéger le secteur financier face aux cyberattaques tient en 4 points :
- La résilience
Les banques et les institutions financières doivent continuer à se renforcer contre les cyberattaques potentielles. « C’est coûteux et complexe, mais c’est absolument essentiel. Je veux vraiment envoyer le message aux institutions financières qu’il est temps de prendre de grandes décisions » pour faire face aux attaques informatiques », a déclaré Bruno Le Maire.
- Une meilleure convergence des règles
De nombreux pays ont mis en place leurs propres règles. Mais elles ne seront d’aucune utilité si elles ne reposent pas sur une approche coordonnée. Toutes ces réglementations différentes d’un pays à l’autre créent de la complexité pour les acteurs financiers.
- Trouver le bon équilibre entre innovation et régulation
Pour le ministre français de l’Economie, il est essentiel de veiller à ce que le cadre réglementaire continue d’encourager l’innovation. « L’innovation ne doit pas être étouffée », précise le patron de Bercy. Au contraire, elle doit être encouragée d’une manière qui soit bénéfique pour la croissance tout en préservant la stabilité financière. « Je tiens à insister sur ce point essentiel : le secteur financier a besoin de stabilité et de confiance ».
- Plus de coordination et de coopération au niveau mondial
« Je suis profondément convaincu que c’est essentiel pour lutter contre les cyberattaques », explique Bruno Le Maire. Selon lui, la cybermenace est la preuve que nous avons besoin de plus de multilatéralisme et de plus de coopération entre les pays.
Simulation de cyberattaques dans la finance par les membres du G7
L’enjeu désormais n’est plus de sensibiliser les institutions financières sur les risques cyber. « Ce qui est nécessaire c’est une action et des décisions coordonnées », a insisté Bruno Le Maire. C’est pourquoi, en juin, les pays membres du G7 (France, Etats-Unis, Royaume-Uni, Allemagne, Japon, Italie, Canada) procèderont à un exercice destiné à mettre en lumière les risques de contagion d’une cyberattaque. 24 autorités financières des pays membres du G7 – banques centrales, autorités de marchés, ministères des Finances- prendront part à cette simulation de cyberattaque.
Cet exercice, piloté par la Banque de France, est une première mondiale. Il repose sur le scénario selon lequel un composant technique largement utilisé dans le secteur financier est infecté par des logiciels malveillants, a expliqué Nathalie Aufauvre, directrice générale pour la stabilité financière à la Banque de France.
« Dans le secteur financier, il n’existe pas de menace plus certaine que celle des cyber-risques. Et il n’y a pas de périmètre plus adapté que le G7 pour y faire face, même si celui-ci n’est pas exclusif. Nous ne pouvons pas nous permettre d’attendre ; agissons, ensemble », a conclu François Villeroy de Galhau, gouverneur de la Banque de France.
Oodrive accompagne les institutions financières en matière de sécurité
Oodrive est le premier acteur à obtenir le Visa de sécurité ANSSI via la qualification SecNumCloud pour l’ensemble de ses offres de Cloud Privé. Le groupe est désormais en mesure de proposer à ses clients, en particulier les OIV (opérateurs d’importance vitale), dont les banques font partie, ou les organismes étatiques, des solutions qualifiées leur permettant de répondre aux exigences de sécurité recommandées par l’ANSSI.