Les régulateurs financiers américains ont adopté une nouvelle règle qui contraint les organisations bancaires à signaler tout incident de cybersécurité important dans les 36 heures suivant sa découverte. Jusqu’à présent, les banques n’avaient pas de délai précis pour déclarer et rapporter une panne informatique majeure.
Un nombre d’incidents cyber déclarés en hausse de 54 %
L’adoption massive du télétravail pendant la période de confinement a placé le secteur de la finance en première ligne en matière de cyber-incidents. Une note récemment publiée par le Trésor révèle que ces risques sont insuffisamment pris en compte. En effet, il ressort de cela que les banques et les assureurs ont été les plus touchés par les attaques ou pannes informatiques, cumulant 25,3 % des incidents et se situant ainsi devant les services (24,4 %) et les administrations publiques (15,6 %).
Le recours soudain au télétravail n’est pas le seul facteur susceptible d’expliquer cette importante exposition au risque cyber. Le secteur financier est d’autant plus concerné qu’il est fortement numérisé. Dans sa note, le Trésor rappelle que les principales structures de marché et une grande partie des activités bancaires sont entièrement dématérialisées.
Pour autant, quantifier les incidents n’est pas simple, car le périmètre du risque cyber est évolutif et il n’y a pas de réelle transparence sur le sujet. Leur qualification est également délicate, chaque pays disposant de ses propres outils. Par exemple, la Banque des règlements internationaux (BRI) utilise un lexique particulier pour classer les pannes ou attaques selon les causes matérielles d’un incident, sa nature malveillante ou accidentelle, ses conséquences et les acteurs impliqués.
Obligation de signaler les incidents de cybersécurité dans les 36 heures
À partir du mois d’avril 2022, les banques américaines devront déclarer dans les 36 heures aux autorités fédérales les incidents importants portés à leur connaissance. En Europe, les banques, supervisées par la Banque centrale européenne (BCE), sont soumises à cette obligation depuis 2017.
Les incidents qui devront être rapportés sont ceux qui sont raisonnablement susceptibles d’avoir un impact sur « la viabilité de leurs opérations, leur capacité à fournir des produits et des services, ou la stabilité du secteur financier américain ».
Ceux-ci peuvent résulter de logiciels malveillants, de défaillances non malveillantes de matériel et de logiciels, d’erreurs de personnel ou d’autres causes. Si l’incident en question est susceptible de bloquer l’accès des clients à leur compte pendant quatre heures ou plus, les banques devront les en informer « dès que possible ».
Ainsi, cette nouvelle règle adoptée par la Federal Deposit Insurance Corporation (FDIC), le Conseil des gouverneurs du Système fédéral de réserve (Conseil) et le Bureau du contrôleur de la monnaie (OCC), vise à inciter les banques à prendre davantage en compte le risque cyber qui pourrait affecter les informations transmises par les fournisseurs de données et, à terme, entraîner une perte de confiance généralisée dans le système de paiement.