La cyber-défense doit être mondiale
Par Emanuel Kopp, Lincoln Kaffenberger et Christopher Wilson26 octobre 2017
Le cyber-risque n'ayant pas de frontières géographiques et la menace étant mondiale, le rôle des institutions internationales est cruciale (solarseven/iStock by Getty Images).
Les cyber-attaques sur des institutions financières deviennent plus fréquentes et beaucoup plus sophistiquées. Les affaires très médiatisées, comme l'intrusion dans le système informatique d'Equifax, qui a compromis la confidentialité d'informations dans le domaine du crédit concernant 143 millions d'américains et les 81 millions de dollars dérobés à la Banque centrale du Bangladesh, ne sont que deux exemples de récentes cyber-attaques sur le secteur financier.
Aujourd'hui, le cyber-risque fait peser une menace permanente sur les institutions et le bon fonctionnement d'un système financier très interconnecté. Des banques de toute dimension sont visées chaque jour par des cyber-attaques. Les intrusions dans certaines entreprises peuvent avoir des répercussions défavorables sur d'autres entreprises financières et non financières et créer un risque systémique; c'est une dimension nouvelle du cyber-risque qui est peu comprise.
Notre récent Document de travail du FMI soutient que des organisations internationales comme la Banque des règlements internationaux, le Conseil de stabilité financière et le FMI peuvent jouer un rôle essentiel en encourageant le partage d'informations, en concevant des mesures coordonnées, en contribuant à la résolution de litiges et en contenant le risque systémique.
Des attaques sophistiquées
Certaines des cyber-attaques les plus dangereuses concernent les virements de fonds et les distributeurs de billets de banque, l'introduction de logiciels malveillants (« maliciels ») dans les systèmes informatiques des banques, la destruction de dossiers et de matériel ainsi que des tentatives d'extorsion de fonds qui perturbent les opérations internes.
Or, avec l'hétérogénéité actuelle des réglementations internationales et des mesures de défense prises par le secteur financier lui-même, on manque de données exhaustives et le risque est probablement sous-estimé.
Les sociétés elles-mêmes contribuent à l'incertitude car, par crainte de porter atteinte à leur réputation ou de perdre des clients, elles dissimulent souvent les informations à propos de cyber-incidents. Dans de nombreux cas, elles ne sont révélées que des mois ou parfois des années plus tard.
Les limites de la sécurité
Comment gérer une menace aussi vaste et complexe? Des mesures de sécurité comme les pare-feux, le cryptage de données, la formation et la programmation de la continuité des activités, bien que nécessaires, peuvent être onéreuses et compliquer la conduite ordinaire des opérations d'une entreprise. Remodeler les produits et les processus est susceptible de contribuer à parer les risques, mais il arrive que de nouvelles pratiques introduisent de nouvelles sources de vulnérabilité.
Les entreprises peuvent transférer le risque à des tiers tels que les compagnies d'assurance ou les prestataires extérieurs de services de cyber-sécurité. L'asymétrie de l'information entre ces acteurs et son insuffisance -- conjuguée à une expérience généralement limitée de cette forme de risque économique -- limite la possibilité pour le secteur privé de réduire le cyber-risque dans le système financier. En général, les entreprises sous-estiment leur exposition au cyber-risque tout en surestimant leur capacité à se prémunir et la couverture procurée par leur cyber-assurance. Comparativement à d'autres risques assurables, le cyber-risque n'est pas bien compris, de sorte que les compagnies d'assurance intègrent une marge de précaution dans leurs primes pour tenir compte de l'incertitude.
Le risque systémique
Il arrive que ces tiers deviennent eux-mêmes la cible de pirates informatiques. En outre, si l'on ne trouve sur le marché que quelques assureurs ou prestataires de services de cyber-sécurité , cette concentration peut devenir une source de risque systémique pour tout le système financier.
Le risque systémique peut aussi résulter de la concentration de la technologie de l'information au sein du système financier, dont les acteurs utilisent les mêmes systèmes d'exploitation et programmes, les mêmes serveurs en nuage et plateformes de réseaux électroniques. Du fait des connexions par l'intermédiaire des marchés interbancaires et de transferts, des chocs pourraient se répandre rapidement dans tout le système financier. La popularité de la cyber-assurance a créé un marché en croissance rapide, mais l'accumulation constante de cyber-risques dans le secteur de l'assurance peut elle-même devenir un risque systémique.
Le secteur public a manifestement un rôle à jouer pour garantir que les dommages entraînés par les cyber-attaques ne créent pas un risque systémique.
Rôle de la réglementation
Les autorités nationales devraient prévoir des incitations pour s'assurer que les cyber-attaques soient signalées rapidement et avec exactitude et que les données sur les pertes soient systématiquement collectées. Les cyber-attaques étant de nature délictuelle, les régulateurs bancaires devraient être en mesure de se coordonner rapidement avec les autorités chargées de faire respecter la loi, et il est indispensable qu'ils disposent des moyens et de l'autorité permettant d'adapter leurs réactions à bref délai au fur et à mesure que les cyber-menaces évoluent.
Le cyber-risque n'ayant pas de frontières géographiques et la menace étant mondiale, le rôle des institutions internationales est cruciale. Le temps est venu pour les gouvernements d'envisager une réponse coordonnée au cyber-risque systémique. Des entités internationales telles que le Conseil de stabilité financière et des forums internationaux comme le Groupe des sept jouent un rôle directeur dans la diffusion de l'information parmi leurs membres et l'encouragement à la coordination internationale des politiques. Elles semblent bien placées pour aider à relever certains des défis sur le plan de la coordination de l'information et de l'action transfrontalière qui résultent du cyber-risque systémique.
*****
Emanuel Kopp est économiste principal dans la Division Amérique du Nord, qui couvre l'économie des États-Unis. Il travaillait auparavant au Département des marchés monétaires et de capitaux du FMI où il s'est occupé de divers programmes d'évaluation du secteur financier (notamment en Allemagne, en Italie, au Danemark et en Colombie) et du programme d'ajustement économique du Portugal. M. Kopp est spécialiste du risque macrofinancier, de la stabilité et de la réglementation financières, de l'investissement et de la prévision macroéconomique. Il est titulaire d'une maîtrise en finance et d'un doctorat d'économie de l'université de Vienne (Autriche).
Chris Wilson est un expert principal du secteur financier au Département des marchés monétaires et de capitaux du FMI. Son domaine d'expertise est la supervision et la réglementation bancaires en général. Il s'intéresse particulièrement aux normes de liquidité de Bâle III et a dirigé plusieurs missions d'assistance technique sur ce sujet. Avant de rejoindre le FMI, il a travaillé à l'Autorité australienne de réglementation prudentielle et à l'Autorité britannique des services financiers dans le domaine de la supervision et de la réglementation bancaires, notamment la supervision de grandes banques et de banques régionales. Plus récemment, il a participé à la mise en œuvre interne des règles de Bâle III. Il est titulaire d'une licence d'économie et d'un diplôme de finance appliquée du FINSIA.
Lincoln Kaffenberger est un spécialiste de la sécurité de l'information au FMI. Depuis plus de dix ans, il aide les organisations à comprendre les menaces auxquelles elles sont confrontées et à prendre en connaissance de cause des décisions en fonction des risques.