+
-

FSB

Trouver des réponses à des menaces globales

Le Conseil de stabilité financière (FSB) mène des travaux depuis quelques années pour améliorer la résilience du système financier face aux cybermenaces. Il participe aussi à favoriser davantage de coopération internationale entre parties prenantes en matière de cybersécurité.

Le 02/09/2019
Dietrich Domanski

La digitalisation de la finance offre la promesse de grands bénéfices pour la société. Les services financiers pourraient devenir moins chers, plus faciles à utiliser et plus largement accessibles. Mais un système financier ouvert et interconnecté est également exposé à des formes d’activités criminelles nouvelles et en constante évolution. En effet, les cyberattaques sont devenues une menace majeure pour tous les acteurs du système financier au niveau mondial, et présentent un risque considérable pour la stabilité financière.

Identifier et traiter les nouvelles vulnérabilités au sein du système financier est au cœur du mandat du Conseil de stabilité financière (FSB). Pour y parvenir, le FSB encourage la coopération sur les sujets de stabilité financière et promeut l’échange d’informations entre autorités responsables de la stabilité financière. C’est pour cette raison que les membres du FSB se penchent sur les risques cyber depuis plusieurs années, en essayant de comprendre l’impact des incidents sur le système financier et en étudiant les réponses des autorités.

Pour la coopération internationale

Les arguments en faveur de la coopération internationale dans le secteur financier sont très solides.

En premier lieu, les cybermenaces qui pèsent sur le secteur financier sont mondiales à double titre. Les cyber-risques eux-mêmes sont mondiaux. Ils peuvent provenir de n’importe où et toucher n’importe qui sur la planète. Et les cyberincidents ont lieu dans un système financier qui est fortement et internationalement interconnecté, à travers les infrastructures financières mais aussi à travers les expositions transfrontalières et les opérations internationales des différentes institutions financières. C’est une tendance qui ne va faire que croître avec l’intégration et la digitalisation toujours plus importantes du système financier.

L’attaque de la Banque du Bengladesh en 2016 en est une illustration. L’incident a affecté des institutions au Bengladesh, en Belgique, aux Philippines, au Vietnam et aux États-Unis. Il a touché une banque centrale, des banques commerciales et une infrastructure financière internationale majeure.

Une autre raison pour laquelle la coopération est si importante est le fait que le secteur financier est une cible privilégiée des cyberattaques, pour des raisons à la fois financières et symboliques. IBM estime ainsi que 19 % de l’ensemble des incidents et attaques cyber en 2018 ont visé des services financiers, plus que dans tout autre secteur [1].

Les menaces évoluent rapidement, sont de plus en plus sophistiquées et capables d’impacter des institutions de toute taille, en visant le maillon le plus faible de la chaîne. Pour les institutions financières qui ont de larges bases de clients particuliers, qui peuvent avoir des dizaines de millions de clients, cela signifie avoir une large surface à protéger.

Les défis de la coopération internationale

En dépit de la force des arguments en faveur d’une coopération internationale face aux cybermenaces, celle-ci comporte des défis importants.

Tout d’abord, beaucoup de questions qui se posent concernant le partage d’informations relatives aux risques cyber et à la cybersécurité peuvent rendre la coopération plus difficile. Un des aspects étant la confidentialité et la sensibilité des informations. Certaines d’entre elles, concernant par exemple la cyberdéfense ou des vulnérabilités identifiées, peuvent relever de questions de sécurité nationale. Un autre sujet, voisin, est la confiance nécessaire à ces échanges, qui peut prendre du temps à construire.

Plus globalement, l’évolution rapide des cybermenaces soulève la question de savoir si les processus de coopération réglementaire sont suffisamment agiles pour être totalement efficaces, à la fois en termes de vitesse et d’implication des parties prenantes.

Ce sont des défis difficiles à relever. Mais ils ne sont pas fondamentalement différents de ceux auxquels la réglementation et la supervision internationales ont eu à faire jusque-là.

La coopération en matière de cybersécurité impose une responsabilité particulière sur trois sujets : améliorer la compréhension mutuelle des enjeux, s’assurer qu’il y a un langage commun qui facilite la communication effective entre les autorités et le secteur privé, et chercher à identifier des solutions possibles et progresser dans des domaines où la confidentialité de l’information est moins sensible.

Le travail du FSB

L’agenda du FSB concernant la cybersécurité a évolué dans trois directions, chacune renforçant les autres, alors que nos membres ont appris les uns des autres et partagé leurs expériences.

Tout d’abord, les membres du FSB ont amélioré leur compréhension mutuelle des approches de la cybersécurité. En 2017, le FSB a dressé le bilan des réglementations du secteur financier en matière de cybersécurité, des lignes directrices et des pratiques des superviseurs [2]. Cet inventaire révèle que toutes les juridictions membres du FSB ont publié des réglementations ou des lignes directrices concernant la cybersécurité du secteur financier, et que ces travaux s’inspirent du même petit corpus de standards ou de lignes directrices nationaux ou internationaux développés préalablement. Dans le même temps, les contacts avec les entreprises soulignent l’importance d’une approche globale cohérente qui évite les systèmes de réglementation multiples et potentiellement contradictoires. Ce travail a catalysé des discussions autour de la cybersécurité au sein du FSB, et il a également nourri le débat public sous la forme de ce rapport de 2017.

Deuxièmement, pour contribuer à l’élaboration d’un langage commun, le FSB a publié en novembre 2018 un lexique cyber pour faciliter son propre travail et celui des corpus d’élaboration de normes, et des autorités et participants du secteur privé [3]. Le cyberlexique comprend un jeu d’environ 50 termes essentiels relatifs à la cybersécurité et à la cyber-résilience du secteur financier. Ces termes doivent favoriser la compréhension commune d’une terminologie pertinente en matière de cybersécurité et de cyber-résilience au sein du secteur financier dans son ensemble, incluant les banques, les marchés financiers, les infrastructures, l’assurance et les marchés de capitaux, et avec les autres secteurs industriels. Une compréhension commune au sein du secteur financier, incluant autorités et acteurs privés, peut non seulement aider à améliorer la cybersécurité et la cyber résilience dans l’ensemble du secteur, mais aussi fournir les bases pour mesurer et contrôler les risques associés pour la stabilité financière.

Troisièmement, le FSB développe actuellement des pratiques efficaces destinées à aider à résoudre les incidents et faciliter la reprise ou la poursuite d’activité. La capacité des institutions financières à répondre aux cyberincidents et à se rétablir de manière saine et rapide est un élément clé de la cyber-résilience. L’objectif de l’initiative actuelle du FSB est de créer une boîte à outils que le secteur privé et les autorités peuvent utiliser pour renforcer leurs capacités à se défendre.

Cette boîte à outils va se concentrer sur les fonctions de réponse aux attaques et de reprise d’activité. La fonction Réponse implique la mise en œuvre de mesures et l’implémentation de processus appropriés après la détection d’un événement cyber. La fonction Reprise implique le développement et l’implémentation de mesures appropriées pour entretenir les plans de cyber-résilience et restaurer les activités et services perturbés du fait de la cyberattaque.

En juillet 2019, le FSB a lancé une enquête auprès des institutions financières pour rassembler des informations sur leurs pratiques concernant les actions mises en œuvre face à un cyberincident et pour organiser la reprise de leurs activités [4]. Le FSB mènera une consultation à partir du rapport qui émanera de cette enquête sur les pratiques efficaces en début d’année prochaine et invite toutes les parties prenantes à répondre à cette consultation car nous sommes très désireux de connaître les pratiques les plus efficaces déjà en cours.

Enfin, le FSB va également continuer à discuter de questions relatives aux risques cyber dans le cadre de ses travaux réguliers d’évaluation des vulnérabilités du système financier. Ses travaux antérieurs dans ce domaine ont déjà aidé les autorités à réfléchir aux réponses qu’elles doivent apporter aux incidents cyber.

Le prix à payer pour une coopération réussie en matière de cybersécurité est élevé, à la fois en termes de meilleure résilience et dans la prévention de la fragmentation des réglementations. Mais ainsi sont les défis. Il faut une combinaison de volonté et de reconnaissance claire de l’importance des défis spécifiques autour des sujets de confidentialité, de confiance et de vitesse de réaction. Si on garde cela à l’esprit, une coopération réussie est possible. Le FSB l’a déjà démontré dans d’autres domaines.

 

Traduit de l'anglais par L.B.

 

[1] IBM (2019), X-Fore Threat Intelligence Index : https://www.ibm.com/downloads/cas/ZGB3ERYD.

[2] FSB, Stocktake of Publicly Released Cybersecurity Regulations, Guidance and Supervisory Practices, octobre 2017 : https://www.fsb.org/2017/10/summary-report-on-financial-sector-cybersecurity-regulations-guidance-and-supervisory-practices/.

[3] FSB, Cyber Lexicon, novembre 2018 : https://www.fsb.org/2018/11/cyber-lexicon/.

[4] FSB, Cyber Incident Response and Recovery: Survey of Industry Practice, 11 juillet 2019 : https://www.fsb.org/2019/07/cyber-incident-response-and-recovery-survey-of-industry-practices/.

L'auteur

Les propos sont ceux de l’auteur et ne représentent pas nécessairement ceux du FSB ou de ses membres.

Séminaires

Sommaire du dossier

Sur le même sujet