Cyberattaques : banquiers et assureurs mis en garde par le superviseur
L'ACPR tire la sonnette d'alarme quant aux pratiques des banques et des assureurs. Des changements sont donc nécessaires, sous le contrôle continu du superviseur.
Ces dernières années, on assiste à une multiplication des cyberattaques à l'égard des banques et des assureurs.
Devant une assemblée de professionnels de la finance hier, le message était très clair. "Le niveau de la menace est aujourd'hui jugé extrêmement préoccupant", a signalé Marc Andries, responsable de la cellule d'évaluation des risques des systèmes d'information de l'Autorité de contrôle prudentiel et de résolution (ACPR). Ces dernières années, on assiste à une multiplication des cyberattaques à l'égard des banques et des assureurs. Le plus préoccupant est qu'elles ont changé de nature.
"Longtemps, le sujet était anecdotique car il concernait l'environnement informatique des clients des banques et des assureurs, mais les choses ont changé avec les vols massifs de données", explique Marc Andries. En effet, selon une enquête menée par l'ACPR auprès de 306 organismes d'assurances en France, 82% d'entre eux ont déclaré avoir été victimes d'attaques depuis janvier 2015.
#acpr : résultats de l enquête sur les #cyberAttaques en #assurance #solva2 pic.twitter.com/cKZ2lPbtrP
- Alban Jarry ✏ (@Alban_Jarry) 16 juin 2016
Une lutte continue contre ces actes
Les attaques sont le plus souvent réalisées avec l'aide de logiciels piégés, malveillants, des systèmes d'usurpation d'identité ou de rançonnage des données. Pour les banques, les attaquent ont essentiellement visées le réseau interbancaire SWIFT.
Ces incursions, surveillées depuis longtemps par le superviseur des banques européennes, avaient déjà provoqué le renforcement des contrôles. Pourtant, la tendance est à une intensification de ces contrôles. "Avec le superviseur unique, nous avons conduit une dizaine d'enquêtes sur place, ainsi que des tests d'intrusion. C'est une première. Cet exercice a vocation à se reproduire" a confirmé Marc Andries.
De son côté, la BCE appelle les banques, sous son contrôle, à lui signaler toutes cyberattaques dépassant un certain seuil. Déjà testé cette année, ce dispositif devrait s'intensifier et se généraliser en 2017.
Un effort demandé aux banques et aux assureurs
L'ACPR appelle les banques et les assureurs à revoir leurs pratiques afin de faire réellement reculer la menace. "L'engagement des dirigeants doit être clair sur ces sujets. Par ailleurs, il y a un enjeu de clarification des responsabilités, le superviseur aimerait bien avoir un interlocuteur unique par banque pour parler de cybersécurité" a indiqué Marc Andries. D'autant plus que cet interlocuteur privilégié devrait être aussi indépendant "pour formuler un droit de veto en cas de risque majeur pour la sécurité de l'établissement", estime l'ACPR.
Le superviseur demande également la révision des budgets liés à l'investissement dans la sécurisation des systèmes informatiques, jugés trop "ponctuels". Un sujet d'une importance capitale: "l'obsolescence" de certains systèmes d'informations des banques est jugée "préoccupante".