France : un risque cyber très élevé et en augmentation pour la finance hexagonale / Le problème s’aggrave du fait de l’IA

Le risque cyber est pris très au sérieux par la Banque de France. “Le risque est très élevé et il augmente”, a fait savoir Agnès Bénassy-Quéré, seconde sous-gouverneure de la Banque de France, à l’occasion d’une conférence de presse présentant le rapport semestriel de l’institut d’émission sur l’évaluation des risques pour le système financier français.

Ce risque qualifié de “structurel” par la Banque centrale, au même titre que l’exposition de la finance française au changement climatique, est “un problème central pour nos sociétés”, a déclaré François Haas, directeur général adjoint de la stabilité financière et des opérations de la Banque de France.

L’IA en trouble-fête

Si à ce jour, “aucune cyberattaque majeure visant le système financier français n’a été répertoriée”, note le rapport, la probabilité qu’elle se produise dans les temps à venir va ainsi croissant. En cause ? “Le développement de l’intelligence artificielle fait que le risque cyber a une dimension évolutive”, a expliqué François Haas. C’est ainsi que le célèbre agent conversationnel ChatGPT (près de 200 millions d’utilisateurs), peut être mobilisé pour mener des cyberattaques.

De fait, dans le détail, il facilite notamment “les cyberattaques par hameçonnage et les attaques par l’intermédiaire de codes malveillants. Enfin, les utilisateurs font preuve d’imprudence lors de l’utilisation de ChatGPT et divulguent des données sensibles de leur entreprise, contribuant également ainsi à faciliter les attaques”, explique le rapport.

Face à cette menace, les institutions financières ont tout intérêt à investir pour se protéger (c’est d’ailleurs le secteur qui investit le plus en ce sens). En effet, “en 2022, la Banque des règlements internationaux (BRI) 63 a mis en évidence que les coûts des cyberattaques sont inversement proportionnels aux dépenses informatiques, suggérant que l’investissement dans les défenses informatiques diminue le coût des cyberattaques subies”, indique le rapport.

Rappelons que la puissance publique n’est pas restée les bras ballants face au risque cyber. Sur le plan national, existe le Groupe de Place Robustesse créé en 2005 à l’initiative de la Banque de France. Une initiative grâce à laquelle sont organisés, depuis cinq ans, des exercices de simulation qui font l’hypothèse d’une crise cyber "sévère mais plausible". Il apparaît qu’ils "confirment chaque année le haut degré de maturité cyber de la Place de Paris et permettent d’identifier des pistes pour améliorer, encore, le dispositif global de gestion de crise", avance la Banque de France.

Au niveau européen, le règlement Dora (Digital Operational Resilience Act) entrera en application en janvier 2025 et renforcera le cadre prudentiel applicable aux entreprises du secteur financier (hors systèmes de paiement) concernant le risque informatique.

Concrètement, "il comprend notamment la mise en œuvre d’une politique de tests de résilience opérationnelle numérique pour toutes les entités. En outre, pour les systèmes critiques, il définit les règles pour la conduite de tests "avancés" (dits "tests d’intrusion" ou Threat-Led Penetration Testing)", explique la Banque de France.