Vers un stress-test de la cybersécurité des banques européennes ?

Recommander les autorités locales des pays membres de l’Union européenne à soumettre les systèmes de sécurité informatique des institutions financières à des stress-tests. C’est l’idée qu’a avancé Andrea Enria, président de l’Autorité Bancaire Européenne, l’autorité indépendante chargée de garantir un niveau de surveillance prudentiel efficace et cohérent à l’échelle de l’Union, à l’occasion d’un échange avec nos confrères de Reuters.

Dans ce cadre, il estime que les banques pourraient avoir à provisionner des réserves supplémentaires afin de se protéger, financièrement, du risque associé à des attaques informatiques. Le risque informatique doit d’ailleurs être explicitement pris en compte dans le cadre des règles Pilier 2. Celles-ci font partie des accords Bâle II et portent justement sur la surveillance prudentielle ainsi que la gestion des risques.

Et la prise en compte des risques associés aux attaques informatiques apparaît particulièrement importante qu’ils sont appelés à être de plus en plus considérés dans les analyses de solvabilité des agences de notation. Moody’s et Standard & Poor l’ont ainsi ouvertement indiqué à l’automne dernier.

Fin 2013, les banques britanniques ont été soumises à un stress-test IT, après un premier en 2011. Mais l’opération n’avait pas manqué de soulever plusieurs critiques, certains experts estimant notamment qu’elle devrait survenir plus régulièrement. D’autres s’interrogeaient sur la manière dont étaient définies les attaques imaginées pour l’exercice.  

Très récemment, la patronne du gendarme des marché boursiers américains a de son côté estimé que le risque d’attaque informatique constitue la principale menace pour le système financier mondial, notamment après les opérations qui ont visé dernièrement les systèmes plusieurs banques connectés au réseau Swift.