Le principal superviseur financier européen va lancer son premier test sur la manière dont le secteur réagirait à une violation grave de ses cyberdéfense après une augmentation des attaques contre les banques de la région suite à l’invasion de l’Ukraine par la Russie.
La Banque centrale européenne demandera à tous les principaux prêteurs de la zone euro de détailler d’ici l’année prochaine comment ils « réagiraient et se remettraient d’une cyberattaque réussie », a déclaré jeudi son chef de la supervision.
« Nous savons qu’il y a eu une augmentation significative des cyberattaques », Andrea Enria dit Journal lituanien Verslo žinios. « Nous ne pouvons pas attribuer cela à une source spécifique, mais c’est un fait que le nombre de ces attaques a augmenté depuis la guerre [in Ukraine] commencé. »
Enria a déclaré que l’inquiétude croissante concernant le risque de cyberattaques signifiait que la BCE lançait « un test de résistance thématique sur la cyber-résilience » conçu pour fournir « une meilleure compréhension des forces et des faiblesses des banques ».
La BCE est en train d’élaborer un scénario de violation théorique des cyberdéfense du système financier, qui sera transmis à l’ensemble des 111 banques qu’elle supervise pour évaluer leur réaction. Enria a déclaré qu’elle aurait les résultats d’ici le milieu de l’année prochaine.
Les inquiétudes concernant la vulnérabilité du système financier européen aux perturbations par des pirates se sont intensifiées après qu’une attaque de ransomware contre Ion Markets, un fournisseur de données financières basé en Irlande, a perturbé certaines parties du vaste marché des produits dérivés cette année. L’attaque a été revendiquée par LockBit, un groupe qui serait basé en Russie et qui a récemment attaqué Royal Mail, le service postal britannique.
Fabio Panetta, membre du directoire de la BCE, a dit cette semaine que le piratage d’Ion Markets « montre comment une attaque contre un fournisseur de logiciels peut se répercuter sur ses clients ». Bien que les retombées plus larges aient été limitées dans ce cas, Panetta a déclaré: « Nous ne pouvons pas ignorer les scénarios où les attaques auraient pu se propager rapidement, perturbant le système financier. »
Le cyber stress test de la BCE fait suite à des exercices similaires menés par d’autres autorités financières. La Banque d’Angleterre lancé un « cyber stress test volontaire » en 2021 pour modéliser l’impact d’une attaque sur le système de paiement.
La Réserve fédérale procède régulièrement à des « examens conjoints de la cybersécurité » des plus grandes banques américaines avec d’autres autorités compétentes. La Fed a dit l’année dernière, il «surveillait de près» comment l’invasion à grande échelle de l’Ukraine par la Russie et d’autres événements géopolitiques pourraient conduire à une «augmentation potentielle des cyberattaques susceptibles d’avoir un impact sur les infrastructures critiques, y compris le secteur des services financiers».
Les superviseurs de la BCE surveillent la dépendance croissante des banques à l’égard des prestataires de services tiers, car elles pourraient être vulnérables aux cyberattaques qui ont un effet d’entraînement sur l’ensemble du système financier. Par exemple, les banques s’appuient fortement sur les grandes entreprises technologiques américaines telles qu’Amazon et Microsoft pour fournir des services de cloud computing.
« De nombreuses banques externalisent des fonctions critiques, soit à d’autres sociétés de leur groupe, soit à des prestataires externes, des prestataires de services tiers, qui sont souvent situés dans d’autres juridictions – parfois en Russie même, parfois en Inde ou dans d’autres juridictions à travers le monde, », a déclaré Enria.