Logo

Site non disponible sur ce navigateur

Afin de bénéficier d'une expérience optimale nous vous invitons à consulter le site sur Chrome, Edge, Safari ou Mozilla Firefox.

adnews
  • Réglementation
  • Sécurité
  • Europe

Le pourquoi / comment du projet de règlement européen sur la résilience ICT de l’écosystème financier ?

LES FAITS : UNE CYBERGUERRE

Les attaques de cybersécurité, initiées par des pirates appâtés par le gain d'argent facile ou par des hackers de pays hostiles, se sont démultipliées durant cette période de crise sanitaire. Personne n’est épargné. Les attaques ciblent aussi bien les utilisateurs que les systèmes d’information du secteur privé ou public.

Selon Arkose Labs, au premier semestre 2020, les attaques sur les transactions en ligne dans le monde ont été multipliées par deux par rapport à 2019. Quant aux entreprises, une étude de Forrester indique qu’en un an, 90 % des entreprises françaises ont subi une attaque qui pouvait impacter leur productivité et/ou engendrer des pertes de données clients et/ou employés. Dernièrement un nouveau cheval de troie, Emotet (voir l'image), envoyé par une pièce jointe par des campagnes de phishing massives, a même fait des ravages au sein de l’administration française.

Le secteur bancaire européen n’est pas épargné. Il y a quelque jours encore, une banque hongroise a fait l’objet d’une attaque par déni de service (DDOS) impressionnante par des serveurs localisés en Chine, Russie et au Vietnam.

Pire le manque de résilience d’une banque systémique par attaque de cybersécurité ou par ses propres risques de défaillances, pourrait mettre en péril toutes les autres qui lui sont interconnectées. Des chercheurs en informatique, Charles Cuvelliez et Jean-Jacques Quisquater, ont ainsi rendu compte d’un rapport alarmant de la BCE sur la sécurité informatique des banques qu’elle supervise.

Alors que le risque cyber s’accroit, le budget informatique des banques pour l’innovation et la gestion de la sécurité stagne depuis quelques années à 21 % de la moyenne, le budget étant souvent corrélé directement au nombre d’administrateurs dotés d’une expertise en informatique. Ainsi le rapport de la BCE émis en juillet 2020 concluait que les banques étaient trop confiantes dans leur capacité de résilience et de résistance aux attaques informatiques et que l’un des points de vulnérabilité majeur portait sur l’externalisation d’activités liées aux technologies d’information et de communication (ICT).

QUE FAIT L'EUROPE FACE A LA RECRUDESCENCE DES ATTAQUES ?

Au-delà de sanctionner les pirates, comme elle l’a entrepris cet été pour la première fois contre des attaquants russes, chinois et nord-coréens responsables des attaques WannaCry, NotPetya, et Operation Cloud Hopper, l’Europe se doit de renforcer ses dispositions règlementaires (directive NIS), et outils du Cyberact par une collaboration européenne d’ampleur.

Le 29 septembre dernier, Guillaume Poupard nous annonçait l’initiative CyCLONe pour un plan d’action de réponse en cas d’incident cyber d’ampleur ou de crise transfrontalière.

Pour  prévenir le risque systémique bancaire qui pourrait résulter dans un incident majeur pouvant déstabiliser l’économie européenne et sa souveraineté, l’Europe veut renforcer la prévention du cyber risque dans l’ensemble de l’écosystème financier et des paiements par des règles communes applicables à tous au travers d’un nouveau règlement sectoriel. Ce nouveau projet de règlement a été présenté le 24 septembre dernier.

 

POUR EN SAVOIR PLUS SUR CE PROJET DE REGLEMENT 

Qui est concerné ?

  • L'écosystème financier au sens large : pas seulement les prestataires de service de paiement (les fournisseurs de services de cryptoactifs inclus) mais aussi les fonds d’investissement, les fonds de pension, les acteurs de l’assurance et leurs intermédiaires, les acteurs de l’audit, …

"To ensure consistency around the ICT risk management requirements applicable to the financial sector, the regulation covers a range of financial entities regulated at Union level, namely credit institutions, payment institutions, electronic money institutions, investment firms, crypto-asset service providers, central securities depositories, central counterparties, trading venues, trade repositories, managers of alternative investment funds and management companies, data reporting service providers, insurance and reinsurance undertakings, insurance intermediaries, reinsurance intermediaries and ancillary insurance intermediaries, institutions for occupational retirement pensions, credit rating agencies, statutory auditors and audit firms, administrators of critical benchmarks and crowdfunding service providers."

  • Ce projet de règlement vise également un acteur non financier mais clé : le fournisseur tiers de technologies ICT, y compris les fournisseurs de solutions cloud. Le règlement vise en particulier les fournisseurs ICT critiques pour lesquels une supervision européenne sera assurée directement par les membres de l’ESA (comité réunissant les 3 autorités de supervision européennes suivantes : European Banking Authority, European Securities and Markets Authority, European Insurance and Occupational Pensions Authority).

"Criticial ICT third-party service provider : The total value of assets of financial entities making use of the services of that critical ICT third-party service provider and which are covered by one of the Regulations (EU) No 1093/2010 (EU), No 1094/2010 or (EU) No 1095/2010 respectively, represents more than a half of the value of the total assets of all financial entities making use of the services of the critical ICT third-party service provider, as evidenced by the consolidated balance sheets, or the individual balance sheets where balance sheets are not consolidated, of those financial entities."

  • Qui n’est pas concerné ?  Ne sont pas concernés (pour l’instant) les systèmes de paiement et règlements de titre (SFD) et leurs acteurs s’ils ne sont soumis au règlement par leurs propres activités.

Les grands thèmes du futur règlement ?

  • La gouvernance : L’objet du règlement est d’engager la responsabilité pleine et entière du management dans le risque ICT. C’est au management de l’entité de définir les rôles, les responsabilités, l’engagement d’audit et de supervision du risque, les procédures de contrôle et d’approbation, et de fournir les moyens (investissements humains, formation).  
  • Les exigences de conformité ICT, à l’état de l’art de la prévention des risques, la détection du risque, de la gestion des incidents avérés, avec en particulier un plan de résilience et reprise d’activité bien définis.
  • Une harmonisation et rationalisation du reporting des incidents ICT.
  • Des tests de résilience opérationnelle.
  • La gestion du fournisseur de technologies ICT : aspect contractuel, cadre de surveillance, règles de coopération entre les autorités et règles de supervision.
  • La supervision par l’ESA des fournisseurs ICT critiques : modalités et astreintes financières si non-respect des règles de mise à disposition de la documentation et demandes d’information, d’inspection et d’audit, rapports de plans de remédiation.
  • Le partage d’information.

Quelles seraient les prochaines étapes ?

  • La définition de RTS, standards techniques par l’ESA avec consultation de l’ENISA.
  • L’étude de faisabilité d’une centralisation des reportings d’incidents avec la création d’un hub européen.