Flash BankNews n°72 | Risque IT et cyber : points d’attention du régulateur pour les acteurs du secteur financier

Le risque informatique : risque majeur du secteur financier

Le risque informatique est devenu l’un des risques majeurs du secteur financier et une priorité de contrôle pour les superviseurs. En effet, les menaces sont grandissantes et le nombre d’attaques augmente considérablement . L’ACPR note une tendance à la hausse des incidents informatiques :

• augmentation constante des malwares et notamment la nouvelle menace : « les rançongiciels ». A titre d’exemple courant janvier 2022, la banque centrale d’Indonésie a subi une attaque de type rançongiciels d’ampleur, avec la divulgation d’informations sur Internet ;
• persistance des phishings et dénis de services (DDoS).

La connaissance des incidents cybersécurité du secteur dans son ensemble reste insuffisante que cela soit au niveau des banques supervisées par l’ACPR comme par la BCE. Cependant à ce jour, l’ACPR n’a pas noté d’incident cybersécurité majeur avec un impact systémique.

Par ailleurs, les menaces sont grandissantes d'une part la sophistication croissante des attaques et professionnalisation des groupes d’attaquants et d'autre part la nuisance grandissante (chiffrement, vol de données, sabotage).

Au-delà des nouvelle menaces, l’ACPR note la présence de faiblesses persistantes :

• défaut de gouvernance des sujets informatiques et de sécurité ;
• défaut de gestion du risque IT et cyber ;
• perte de maîtrise du SI (complexité, sous-traitance, transformation) ;
• dispositif de continuité ou de résilience insuffisant.

Dans le cadre de ses contrôles l’ACPR veille notamment à :

• l’implication des instances dirigeantes dans la gestion de ces risques ;
• le renforcement de la gestion des risques (2ème Ligne de défense) ;
• les mesures de sécurité minimales ;
• le renforcement du dispositif de continuité (tests) ;
• le renforcement du dispositif de réaction et de rétablissement sur incidents.

Le pilotage des prestataires

L’ACPR constate que l’externalisation d’activités et la souscription de services auprès de prestataires tiers s’amplifient et accroissent le « risque de tiers ».

Afin d’avoir une meilleure maîtrise de ce risque, il faut donc une implication des instances dirigeantes (stratégie d’externalisation, décisions d’engagement, suivi) et l’application des règles de gestion du risque opérationnel (tenue du registre, évaluation des risques, application de contrôles).

La mise en œuvre du règlement européen DORA va également induire le renforcement des obligations de maîtrise des prestataires et la création d’un régime de surveillance directe par les autorités de surveillance pour les principaux prestataires œuvrant dans le secteur bancaire

La maîtrise de la sécurité

Les attaques cyber dont le nombre et la sophistication ne cessent d’augmenter obligent à mettre en œuvre un haut niveau de sécurité informatique.

L’ACPR met en garde les établissements par rapport à l’utilisation des services cloud dont la stratégie de déploiement doit tenir compte de la sensibilité des applications des services et des données.

La normalisation du télétravail présentant également de nouveaux risques, l’ACPR suggère de :

• veiller à utiliser des solutions de connexions sécurisées ;
• éviter l’utilisation de matériels non contrôlés ;
• éviter les opérations sensibles à distance ;
• adapter les contrôles (L1 et L2).

L’amélioration des dispositifs de résilience

Durant la crise, l’ACPR a constaté des manquements en matière de dispositifs de de résilience opérationnelle , et préconise la mise en place d’un cadre de test de résistance opérationnelle numérique, intégrant des tests de pénétration fondés sur la menace.

Enfin, il convient d’ajouter que les régulateurs adressent maintenant les risques informatiques dans leur ensemble, à travers un arsenal législatif et de contrôles que cela soit au niveau national et au niveau européen – ce qui impose aux banques et assurances un pilotage plus approprié des risques et menaces liées.

Les équipes Mazars sont à votre disposition pour vous aider à déployer et renforcer vos dispositifs internes de gestion du risque informatique et cyber et le pilotage de vos prestataires informatiques.