Dans un bulletin macroprudentiel consacré à la cyber-résilience du secteur bancaire, la Banque Centrale Européenne (BCE) alerte sur les cyber-risques qui peuvent avoir un impact systémique, et veut faire évoluer les stress tests face aux menaces actuelles.
“Les cyberattaques représentent un risque plus grand que jamais pour la stabilité financière, leur nombre et leur ampleur ayant augmenté. Une perspective macroprudentielle des tests de résistance à la cyber-résilience est nécessaire, car les cyberincidents peuvent avoir un impact systémique, leurs effets se propageant à l’ensemble du secteur financier via des mécanismes opérationnels, financiers et de confiance“, prévient la BCE.
“Nous n’avons pas encore connu de crise cybernétique systémique, même si un seul incident cybernétique pourrait rapidement se transformer en crise systémique s’il ébranlait la confiance du public dans les infrastructures financières. Renforcer la résilience de notre système financier est donc de la plus haute importance“, souligne la BCE.
Trois canaux de contagion
La BCE a décelé 3 canaux de contagion qui peuvent interagir pour toucher le secteur financier.
Le premier canal est de nature opérationnel. Le petit nombre de fournisseurs sur des infrastructures critiques ou logiciels essentiels ne permet pas de remplacement en cas d’incidents. “En février 2023, plusieurs acteurs du marché aux États-Unis et dans l’Union européenne ont été touchés par un rançongiciel ciblant ION, un important groupe de services financiers. ION n’a pas pu traiter ses transactions tant que le problème n’a pas été résolu“.
Autre exemple, “un cyberincident survenant sur le réseau de paiement de gros chez l’un des cinq plus grands participants du système de paiement américain affecterait, en moyenne, 38 % du réseau (en pourcentage des actifs du système bancaire américain). Une autre source de vulnérabilité est le niveau élevé de concentration du système. La concentration survient lorsqu’il y a une dépendance à un petit nombre de fournisseurs d’un service donné, ce qui signifie qu’un incident chez un fournisseur pourrait avoir un impact disproportionné sur le système“. La BCE demande un outil clé qui consiste à dresser une carte cybernétique identifiant les connexions opérationnelles et technologiques pour faciliter la détection des risques de concentration mais aussi de réaliser des exercices de crise.
Dresser une carte cybernétique identifiant les connexions opérationnelles et technologiques pour faciliter la détection des risques de concentration
Le deuxième canal de contagion serait de nature financière. La contagion se propage via l’interconnexion des entités et institutions financières. Le cyberincident se propage alors à d’autres structures. Par exemple, “le 9 novembre 2023, une attaque par rançongiciel a paralysé les systèmes informatiques de la branche américaine des services financiers de la Banque industrielle et commerciale de Chine. Cette cyberattaque a paralysé les systèmes informatiques de la banque, perturbant le traitement des transactions pour le compte d’autres acteurs du marché et la liquidité du marché des bons du Trésor américain. Cette attaque met en évidence les fortes interconnexions entre les acteurs du marché, la propagation du canal opérationnel au canal financier et le risque de contagion à l’ensemble du secteur financier“.
Le troisième canal identifié est lié à la perte de confiance. “Par exemple, les clients peuvent s’inquiéter de déconnexions temporaires des systèmes ou d’une fuite de données. De plus, la simple divulgation d’un cyberincident ou d’une corruption de données peut entraîner une perte de confiance parmi les clients et les autres institutions financières, et créer des tensions de liquidité pour l’institution financière concernée. Ces canaux interagissent entre eux, car une perte de confiance des investisseurs peut entraîner des ventes à la sauvette et une volatilité des prix des actifs. Ces événements pourraient semer la panique parmi les déposants, entraînant d’importantes sorties de fonds et une « cyber-ruée »… Plus précisément, un cyberincident en période de tensions peut ralentir la réponse des acteurs du marché aux demandes de liquidités, aggravant ainsi les effets globaux. De plus, lors de ventes au rabais, les institutions financières sont contraintes de liquider leurs actifs à des prix fortement réduits, notamment pour les actifs communs ce qui exerce une pression à la baisse supplémentaire sur les prix des actifs“.
Ces événements pourraient semer la panique parmi les déposants, entraînant d’importantes sorties de fonds et une cyber-ruée.
Les solutions de la BCE
Ainsi, la BCE propose de faire évoluer les outils macroprudentiels actuels qui ne sont pas conçus pour gérer spécifiquement le cyber-risque systémique. Ainsi, le cadre macroprudentiel devrait être modifié dans trois domaines principaux : l’inclusion des aspects liés au cyber-risque systémique dans les objectifs intermédiaires ; l’élaboration d’un cadre analytique et d’indicateurs de suivi ; le développement d’outils spécifiques au cyber-risque systémique.
Elle propose également des tests de résistance cybernétiques “top down” pour disposer d’informations quantitatives du niveau de cyber résilience. La démarche peut être suivie par les acteurs d’autres secteurs.
