Equifax : vers un renforcement des obligations réglementaires

Les services financiers (DFS) de l’état de New York ne semblent pas gouter l’important incident de sécurité dont a été victime Equifax et qui a conduit à la compromission des données personnelles de plus de 140 millions de citoyens américaines.  

Le DFS vient ainsi de publier des recommandations pour pousser les institutions financières opérant dans l’état « pour protéger les consommateurs » suite à l’attaque ayant visé Equifax. Et force est de constater que l’éventail de mesures est large. Cela commence ainsi par de l’hygiène, en « s’assurant que tous les correctifs applicables aux technologies de l’information et à la sécurité de l’information ont été installés ».

Mais Le DFS souhaite aussi que les institutions financières de l’état mettent en place « des programmes de prévention de la fraude et de l’usurpation d’identité appropriés », complétés par des procédures de vérification d’identité poussées à l’ouverture de compte, la souscription de prêt, ou l’émission de carte de crédit, sans compter la vérification des informations de solvabilité.

Surtout, le DFS de l’état de New York entend étendre aux spécialistes de l’évaluation de la solvabilité les exigences qui s’appliquent aux banques et aux assurances en matière de cybersécurité. Et cela porte notamment sur la notification des incidents.

L’approche rappelle celle adoptée en début d’été par la BCE : toutes les banques de la zone euro doivent désormais signaler les incidents de sécurité les plus importants, afin de mieux qualifier la menace, mais aussi d’aider à identifier les faiblesses du système bancaire européen.

Selon un sondage réalisé par Accenture un peu plus tôt cette année auprès de RSSI bancaires du monde entier, 85 attaques ciblées visent les banques chaque année, dont un tiers est couronné de succès. Et pour 59 % des sondés, il faut « des mois » pour découvrir une brèche. Sans complaisance, Accenture estimait alors que « les entreprises de services financiers devraient se poser des questions en profondeur au sujet de leurs approches de cybersécurité ».

A l’automne 2016, Swift a prévenu ses clients que la menace visant leurs systèmes connectés à son réseau était loin d’être passée. Mais avant, l’autorité de contrôle prudentiel et de résolution (ACPR), l’organe français de supervision de la banque et de l’assurance, rattaché à la Banque de France, alertait à la suite d’un sondage : « en recoupant les réponses et en comparant avec les constats des contrôles sur place, il apparaît qu’un grand nombre d’entreprises semblent surévaluer leur niveau de maturité ».

Un peu plus tôt, Andrea Enria, président de l’autorité bancaire européenne, avait évoqué l’idée d’un stress-test de la sécurité informatique des banques du Vieux Continent.