Estimer le cyberrisque pour le secteur financier
Christine LagardeLe 22 juin 2018
La valeur moyenne des pertes subies par les institutions financières en raison des cyberattaques serait de quelques centaines de milliards de dollars par année. (Photo : EtiAmmos/iStock par Getty Images)
Le cyberrisque menace sérieusement le système financier. Selon une modélisation effectuée par les services du FMI, les pertes annuelles moyennes des institutions financières imputables aux cyberattaques s’élèveraient à quelques centaines de milliards de dollars, ce qui gruge le bénéfice des banques et pourrait compromettre la stabilité financière.
Si l’on en juge par certaines affaires récentes, la menace est bien réelle. Des attaques réussies ont en effet permis aux voleurs d’accéder à des renseignements confidentiels et de commettre des fraudes. Nous songeons notamment au vol de 500 millions de dollars à la bourse de cryptomonnaie Coincheck. Mais, au-delà de ces considérations strictement financières, la menace réside aussi dans la possibilité qu’une institution ciblée par une attaque ne soit plus en mesure de poursuivre ses activités.
Rien d’étonnant donc que selon plusieurs enquêtes, les cyberattaques soient au premier rang des préoccupations citées par les gestionnaires de risques et autres dirigeants d’institutions financières, comme l’indique le graphique ci-dessous.
Vulnérabilité du secteur financier
Le secteur financier est particulièrement vulnérable aux cyberattaques. En raison de leur rôle crucial d’intermédiaires financiers, les institutions financières sont en effet des cibles invitantes. Une cyberattaque réussie contre une institution pourrait déclencher une réaction en chaîne qui frapperait l’ensemble du système financier, fortement interconnecté. Nombre d’institutions utilisent encore d’anciens systèmes dont la résilience à une éventuelle cyberattaque est douteuse. Une cyberattaque réussie pourrait entraîner des coûts directs importants (pertes financières) et des coûts indirects, comme une réputation entachée.
Certaines affaires récentes fortement médiatisées ont mis le cyberrisque à l’ordre du jour du secteur officiel, et notamment des organisations internationales. Pourtant, l’analyse quantitative du cyberrisque demeure embryonnaire, surtout à cause de l’absence de données sur le coût de ces cyberattaques et à cause de la difficulté à modéliser le cyberrisque.
Une étude récente du FMI établit un cadre de réflexion sur les pertes que pourraient causer les cyberattaques, plus particulièrement dans le secteur financier.
Estimation des pertes potentielles
Le nouvel outil de modélisation s’appuie sur des techniques actuarielles et sur la mesure du risque opérationnel pour estimer les pertes globales que les cyberattaques sont susceptibles de causer. Cette méthode nécessite une évaluation de la fréquence à laquelle les institutions financières sont ciblées par ces attaques et une idée de la répartition des pertes découlant de ces événements. On peut ensuite utiliser des simulations numériques pour estimer la distribution des pertes globales causées par les cyberattaques.
Nous avons appliqué notre cadre au moyen d’un ensemble de données sur les pertes imputables à des cyberattaques survenues récemment dans 50 pays. Cette analyse donne un exemple de la manière d’estimer les pertes potentielles des institutions financières. L’exercice est difficile et compliqué par l’important déficit de données sur le cyberrisque. Par ailleurs, heureusement, aucune cyberattaque de grande envergure contre le système financier n’a réussi à ce jour.
Nos résultats doivent donc être considérés comme purement indicatifs. À première vue, ils semblent montrer que les pertes annuelles moyennes potentielles imputables aux cyberattaques pourraient être élevées, à savoir près de 9 % du bénéfice net mondial des banques ou environ 100 milliards de dollars. Dans un scénario plus pessimiste, où la fréquence des cyberattaques serait deux fois plus élevée que dans le passé, avec un effet de contagion supérieur, les pertes pourraient être deux fois et demie à trois fois et demie plus élevées et atteindre 270 à 350 milliards de dollars.
Le cadre peut être utilisé pour analyser des scénarios de risque extrêmes supposant des attaques massives. Selon la distribution des données collectées, dans un tel scénario, qui représente la tranche de 5 % des cas les plus graves, les pertes moyennes potentielles pourraient être aussi élevées que la moitié du bénéfice net des banques, ce qui mettrait en danger l’ensemble du secteur financier.
Les pertes estimées sont de plusieurs ordres de grandeur supérieures à la taille actuelle du marché de la cyberassurance. Malgré sa croissance récente, ce marché demeure en effet restreint, avec des primes versées de plus ou moins trois milliards de dollars à l’échelle mondiale en 2017. La plupart des institutions financières ne détiennent aucune cyberassurance. La protection est en effet limitée et les assureurs éprouvent des difficultés à évaluer le risque à cause de l’impossibilité d’établir avec certitude l’exposition au cyberrisque, du manque de données et de la contagion possible.
La voie à suivre
L’évaluation des risques est éminemment perfectible. La collecte par les autorités de données plus granulaires, uniformes et complètes sur la fréquence et les effets des cyberattaques permettrait de mieux évaluer le risque pour le secteur financier. Les obligations de déclaration des infractions, par exemple celles envisagées dans le cadre du Règlement général sur la protection des données de l’UE, devraient permettre de mieux détecter les cyberattaques. L’analyse de scénarios pourrait servir à une évaluation approfondie du mode éventuel de propagation des cyberattaques sur laquelle on pourrait s’appuyer pour concevoir des modes d’intervention satisfaisants à l’intention des institutions privées et des administrations publiques.
De nouvelles études sont aussi nécessaires pour en venir à une meilleure compréhension des moyens de renforcer la résilience des institutions et des infrastructures financières, pour à la fois réduire les probabilités de succès des cyberattaques et faciliter une reprise rapide et en douceur des activités. Il est également nécessaire que le secteur officiel se dote à l’échelle mondiale d’une capacité de surveillance et de réglementation de ces risques.
En somme, il convient de renforcer les cadres de réglementation et de surveillance des cyberrisques, en mettant l’accent sur le développement de pratiques efficaces de surveillance et de tests réalistes de vulnérabilité, sans oublier la reprise des activités ainsi que la planification des imprévus. Le FMI offre une assistance technique pour aider ses pays membres à améliorer leur cadre de réglementation et de surveillance.
*****
Christine Lagarde est Directrice générale du Fonds monétaire international. Après un premier mandat de cinq ans, elle a été reconduite dans ses fonctions en juillet 2016 pour un deuxième mandat. De nationalité française, elle a auparavant occupé le poste de ministre des Finances de son pays de juin 2007 à juillet 2011. Elle a aussi été ministre déléguée au Commerce extérieur pendant deux ans.
Mme Lagarde a également poursuivi une longue et remarquable carrière d’avocate spécialiste du droit de la concurrence et du travail en qualité d’associée dans le cabinet international Baker & McKenzie, dont elle a été élue présidente en octobre 1999. Elle l’est restée jusqu’en juin 2005, date à laquelle elle a été nommée à son premier poste ministériel en France. Mme Lagarde est diplômée de l’Institut d’études politiques (IEP) et de la faculté de droit de l’Université Paris X, où elle a aussi enseigné avant d’intégrer Baker &McKenzie en 1981.
Pour une biographie plus détaillée, veuillez cliquer ici.
À consulter:
La cyber-défense doit être mondiale