Sécurité informatique : le gendarme bancaire européen tire la sonnette d’alarme

Romain Gueugneau, Les Echos, 11 octobre 2019

Les risques de piratage et d’incidents informatiques vont croissant, à mesure que les banques numérisent leurs services. L’externalisation et la bascule vers le cloud augmentent aussi la probabilité d’accidents. La Banque centrale européenne prend de plus en plus au sérieux ces risques.

Les risques liés à la sécurité informatique sont pris de plus en plus au sérieux dans les couloirs de la Banque centrale européenne (BCE). Dans la cartographie des risques 2020 , publiée ce lundi, le superviseur bancaire pointe “la cybercriminalité et les carences informatiques” comme “l’un des trois principaux facteurs de risque auxquels le système bancaire de la zone euro devrait faire face au cours des trois prochaines années”, juste après “les défis économiques et politiques en matière de soutenabilité de la dette” et la “résilience du modèle d’activité des banques” dans un environnement de taux bas et de concurrence exacerbée.

Dans ce contexte, la conversion du secteur bancaire au cloud peut devenir source de problème. L’américain Capital One l’a appris à ses dépens : la banque, qui travaille avec le géant du cloud Amazon Web Services, a vu les données de 106 millions de clients dérobées. “Avec la migration de services et de données dans le cloud, les banques offrent une porte d’entrée supplémentaire aux hackers”, considère Loïc Guézo, directeur de la stratégie cybersécurité chez Proofpoint, un éditeur de logiciels de sécurité.

“Il ne s’agit pas de limiter cette migration, qui est une tendance lourde. Mais il faut que les banques soient bien conscientes des risques, de ce que cela implique en termes de gestion et de disponibilité des données”, avertit un expert de la BCE, qui signale par ailleurs que certains établissements font parfois machine arrière dans l’adoption du cloud.

Les risques liés à la numérisation

Outre le cloud, l’augmentation du risque informatique va de pair avec la numérisation des services financiers. Les banques proposent de plus en plus aux clients de réaliser leurs opérations en ligne ou sur leurs smartphones. De quoi “amplifier la vulnérabilité des banques face à la cybercriminalité et les carences informatiques opérationnelles”, écrit la BCE dans son rapport.

Le risque cyber vient aussi d’une fragmentation croissante des systèmes informatiques à l’intérieur des banques, qui dépensent plusieurs milliards par an dans leur infrastructure IT. “Le système devient si complexe que les établissements peinent à véritablement pouvoir le protéger, constate un expert à Francfort. Les hackers, eux, savent comment exploiter cette complexité.” En externalisant certaines parties de leur informatique, les banques délèguent la gestion des risques à des tiers.

Intensifier les inspections

D’une manière générale, le superviseur bancaire promet d’être plus attentif aux pratiques en la matière. Il va multiplier les missions d’inspection “sur site”, au cours desquelles il peut dépêcher six à sept personnes pour auditer pendant plusieurs semaines les dispositifs. Objectif : s’assurer que les bonnes pratiques en termes de sécurité informatique sont bel et bien appliquées.

Dans une récente note, la BCE remarquait que la plupart des problèmes de sécurité relevaient d’un défaut dans l’application des règles de détection des risques. “Dans certains cas, les patches logiciels, qui permettent de mettre à jour le système de défense contre de nouvelles vulnérabilités, ne sont tout simplement pas installés”, regrette le superviseur.