Les banques européennes devront signaler les incidents « significatifs »

« Le risque cyber est une priorité de la supervision bancaire de la BCE depuis le premier jour », explique Sabine Lautenschläger, membre du conseil d’administration de la BCE et vice-présidente de son conseil de supervision. Et de préciser que, depuis 2015, un groupe de travail se penche sur le sujet : « nous avons appris beaucoup au cours des deux dernières années. Et cela nous servi à répondre à ce risque sous plusieurs angles. Pour la première étape était d’établir un cadre de signalement des incidents cyber ». Et celui-ci a été éprouvé en phase pilote l’an passé. Il s’agit donc de généraliser.

« A compter de cet été, [les banques de la zone euro] devront signaler toutes les incidents cyber significatifs », indique dès lors Sabine Lautenschläger. Ces notifications devront aider la banque centrale à « évaluer les risques menaçant chaque banque, ainsi que les risques susceptibles d’affecter l’ensemble du secteur. Elles nous aideront aussi à améliorer la conscience du risque cyber au niveau des conseils d’administration ». Et bien sûr, ces signalements devront aider à identifier « les vulnérabilités et les écueils courants ».

Et il y a urgence, semble-t-il : « l’hygiène IT de base peut représenter un important travail pour les banques ». Selon un sondage réalisé par Accenture un peu plus tôt cette année auprès de RSSI bancaires du monde entier, 85 attaques ciblées visent les banques chaque année, dont un tiers est couronné de succès. Et pour 59 % des sondés, il faut « des mois » pour découvrir une brèche. Sans complaisance, Accenture estimait alors que « les entreprises de services financiers devraient se poser des questions en profondeur au sujet de leurs approches de cybersécurité ».

A l’automne dernier, Swift a prévenu ses clients que la menace visant leurs systèmes connectés à son réseau était loin d’être passée. Mais avant, l’autorité de contrôle prudentiel et de résolution (ACPR), l’organe français de supervision de la banque et de l’assurance, rattaché à la Banque de France, alertait à la suite d’un sondage : « en recoupant les réponses et en comparant avec les constats des contrôles sur place, il apparaît qu’un grand nombre d’entreprises semblent surévaluer leur niveau de maturité ».

Un peu plus tôt, Andrea Enria, président de l’autorité bancaire européenne, avait évoqué l’idée d’un stress-test de la sécurité informatique des banques du Vieux Continent.