Risque cyber : la BCE a mis les banques à l’épreuve / Elles ont des marges de progression

Les banques de la zone euro peuvent mieux faire en termes de résistance aux cyberattaques. C’est l’un des constats mis en avant par la Banque centrale européenne (BCE) à l’issue de son test de résistance sur la cyberrésilience. L’exercice de l’institution de Francfort a porté sur 109 des 113 banques qu’elle supervise directement et 28 d’entre elles ont fait l’objet de contrôles plus approfondis.

Dans l’ensemble, il a montré que les banques “disposaient de cadres de réaction et de rétablissement” mais qu’il restait des points d’amélioration. La Banque centrale n’en a pas dit davantage sur les conclusions de ce test si ce n’est que les autorités de surveillance ont fourni un retour d’information à chaque banque, "auquel elles donneront suite en conséquence". A noter que certaines banques ont déjà commencé à corriger les insuffisances relevées au cours de l’exercice ou déjà prévu d’y remédier

Le test s’appuyait sur un scénario fictif où toutes les mesures préventives échouaient tandis qu’une cyberattaque dégradait gravement les bases de données des systèmes centraux de chaque banque. “Il s’agissait donc davantage d’observer comment les banques réagiraient à une cyberattaque et s’en remettraient que d’examiner leurs stratégies de prévention en la matière”, souligne la BCE.

Ainsi, ces institutions financières ont dû démontrer qu’elles pouvaient “activer leurs plans de réaction aux crises, y compris leurs procédures internes de gestion des crises et leurs plans de continuité des activités, communiquer avec toutes les parties prenantes externes telles que les clients, les fournisseurs de services et les services de police ou encore notamment effectuer une analyse afin de déterminer quels services seraient concernés et de quelle manière”, explique la BCE.

En outre, a été examiné leur capacité à rebondir, c’est-à-dire “activer leurs plans de rétablissement, et notamment restaurer les données sauvegardées et convenir avec les prestataires de services tiers critiques de la manière de réagir à l’incident, assurer le rétablissement et la remise en marche des zones affectées et mettre en œuvre les enseignements tirés, par exemple en modifiant leur réaction et leurs plans de rétablissement”, détaille l’institut d’émission.

Représentante de la BCE au sein conseil de surveillance prudentielle du mécanisme de surveillance unique, Anneli Tuominen a déclaré que les banques devaient s’assurer que leurs capacités de rétablissement soient suffisantes pour gérer les pires scénarios et qu’elles pouvaient atteindre leurs objectifs de rétablissement afin de protéger les actifs et les données des clients, de maintenir la confiance dans le système bancaire et, en fin de compte, de sauvegarder la stabilité financière.