Cybersécurité : l’ACPR s’inquiète de la maturité réelle dans la banque et l’assurance

L’autorité de contrôle prudentiel et de résolution (ACPR), l’organe français de supervision de la banque et de l’assurance, rattaché à la Banque de France, organisait une conférence, ce jeudi 16 juin, consacré notamment à la qualité des données et à la robustesse des systèmes d’information dans ce secteur. Et celle-ci semble avoir pris la pleine mesure de l’enjeu.

Dans son discours d’introduction, Bernard Delas, vice-président de l’ACPR, soulignait ainsi que « s’il peut paraître technique, le sujet revêt une importance centrale ». Et cela en particulier en raison de « l’extrême diversité des situations dans lesquelles se trouvent les établissements au regard de leur système d’information ». Un SI qui s’apparente « parfois » à un « millefeuille » du fait de l’histoire même des organismes concernés. Las, « l’époque où l’entreprise pouvait s’accommoder d’une informatique périodiquement défaillante est révolue ».

Mais au-delà de la fiabilité, c’est bien de la sécurité qu’il est question, en particulier à l’heure des attaques visant les utilisateurs du réseau Swift et alors qu’un stress-test de la cybersécurité des banques européennes commence à faire son chemin dans les esprits. Pour Bernard Delas, « les risques liés aux cyberattaques font désormais partie de notre quotidien […] Les échanges de données à distance sont désormais au cœur du modèle d’affaires des banquiers et des assureurs, et ils constituent la cible privilégiée des hackers. Si les fraudes venaient à se multiplier, c’est toute l’économie du numérique qui serait menacée. Les parades existent, mais elles exigent de lourds investissements qui ne sont pas toujours jugés prioritaires ».

Et l’enquête sur les SI et la qualité des données conduite par l’ACPR – auprès de 306 organismes représentant 85 % du marché de l’assurance et de la réassurance – ne dit pas autre chose. Certes, 77 % des répondants estiment disposer d’une politique et d’une gouvernance du SI au moins mature. Mais pour 9 % des répondants, le DSI ne fait ni partie des organes de direction, ni d’un comité chargé des sujets stratégiques SI rattaché à la direction. Et cela vaut même pour 6 % des sondés qui s’estiment matures ou très matures. Pire : « 41 % des entreprises déclarées très matures en connaissance de risques ne recensent pas les types de cyberattaques qui les menacent ».

Près de 80 % des organismes sondés s’estiment matures en politique de sécurité de leur SI – ils sont à peu près autant à disposer d’un responsable de la sécurité opérationnelle du SI et d’un RSSI. Mais ce dernier n’est indépendant du DSI que chez 33 % des répondants. Et seuls 62 % des sondés indiquent « recenser les cyber menaces dont ils peuvent être victimes ». L’ACPR relève en outre que parmi ceux qui revendiquent une maturité certaine, « 21 % font état de dispositifs d’évaluation de la sécurité du système d’information examinés selon une fréquence insuffisante, que cela soit par le contrôle interne ou par l’audit interne ».

Et pourtant, 82 % des entreprises étudiées ont été victimes d’attaques – et jusqu’à 89 % en chiffre d’affaires par usurpation d’identité ou ingénierie sociale. Le déni de service a concerné 31 % des établissements en nombre depuis le 1^er janvier 2015 ; les logiciels malveillants, 69 %. Moins de 15 % des victimes d’attaques l’an passé n’ont pas réalisé de tests d’intrusion au cours des 18 derniers mois.

Dès lors et sans surprise, pour l’ACPR, « il convient de donner au RSSI les moyens et l’indépendance suffisants ». Surtout, « en recoupant les réponses et en comparant avec les constats des contrôles sur place, il apparaît qu’un grand nombre d’entreprises semblent surévaluer leur niveau de maturité ». Pour l’Autorité, il apparaît nécessaire « d’asseoir » la gouvernance du risque SI, intégrée à la gouvernance des risques de l’entreprise.

Pour Sandrine Lemery, première secrétaire générale adjointe de l’ACPR, il apparaît clé que « le plus haut niveau de l’exécutif s’empare du sujet. Il doit allouer les moyens nécessaires à la détection des risques et à leur traitement », notamment avec la mise en place d’un CERT.