Les impacts des cyber attaques peuvent être financiers, atteindre l’image de marque des établissements financiers et entrainer des problématiques de conformités légales et réglementaires…
Le risque de cyber attaques est aujourd’hui nettement supérieur dans le domaine bancaire que dans celui des services ou du commerce. Le préjudice peut s’évaluer par coût de l’actif dérobé (data), par sanctions pénales, s’agissant de vol de données, ou par la détérioration de l’image de marque. Selon l’étude « Cost of Data Breach » publiée par the Ponemon Institute en 2016, le coût moyen d’une fuite par document dans le secteur financier s’élève à 221 $, soit plus que les 158 $ perdus en moyenne par les autres secteurs. En France, la perte de client –churn rate- consécutif à une fuite de donnée a un impact très important sur le coût moyen de l’actif dérobé. Depuis trois ans, notre pays demeure, au niveau international, celui qui a le taux de résiliation client le plus élevé (+4,3%) après une fuite de donnée. Lorsque l’on ramène ce taux au secteur financier, il est de +6.2%, impactant considérablement la réputation et l’image de marque des établissements concernés. En sus des préjudices financiers, liés aux pertes et fuites de données, il convient de rajouter les ressources financières consenties à la réparation du préjudice (recherche des causes, intervention pour mettre fin à l’accident, remplacement des équipements…). Plusieurs facteurs permettent de réduire le coût des fuites de données par actif, notamment le temps de réponse aux incident (-14$/actif), et l’utilisation intensive de technique de chiffrement (-13$/actif).
Les préjudices liés au cyber attaques peuvent aussi s’évaluer en termes de ressources humaines. Au début de l’année 2016 dans l’affaire Swift, le directeur de la banque centrale du Bangladesh a démissionné et trois de ses plus importants collaborateurs sont été simplement licenciés. Mais le préjudice qui reste indéniablement le plus important, car par nature incalculable, reste celui de la réputation et de l’image de marque. Comme le disait à juste titre Warren Buffet, « Il faut 25 ans pour bâtir une réputation et moins de 5 minutes pour la ruiner »
Vers un renforcement des règlementations
Le secteur bancaire est déjà soumis à une grande variété de législations, visant notamment à combattre le blanchiment, la corruption, l’évasion fiscale, les produits dérivés (titres échappant aux contrôles classiques) ou d’autres crimes qui pèsent considérablement sur la santé des états et des populations. La lutte contre la cybercriminalité implique un renforcement des règlementations en termes d’analyse de risques et de protection des données.
1. Accords de Bâle (III du 16 décembre 2010).
Les principes d’agrégation de données et de reporting des risques définis par le Comité de Bâle sur le contrôle bancaire (BCBS 239), intègrent des notions d’indication de l’origine des données et de leur mode de traitement
2. La loi de programmation militaire (LPM) N° 2013-1168
Elle impose à l’ensemble des Organismes d’Importance Vitales (OIV) et notamment les établissements bancaires de cartographier leurs réseaux et de les cloisonner pour éviter la propagation des attaques, d’identifier les systèmes d’information ultra critiques, de déployer des outils de détection des cyber attaques et de signaler les incidents subis.
3. La Directive NIS –Network Security and Information
Approuvée par le Conseil de l’Union et le Parlement Européen, cette directive dont l’entrée en vigueur est prévue en 2018, traite des mesures à mettre en place afin d’assurer un haut niveau de sécurité en matière de réseaux et de systèmes d’information dans l’Europe des 28. Elle vise un renforcement de la coopération stratégique en matière de lutte contre la cybercriminalité entre les États membres, et à sensibiliser les entreprises aux risques d’intrusion et de piratage de leurs réseaux. Les opérateurs concernés- Opérateurs fournissant des services essentiels- devront prendre des mesures préventives, d’ordre technique et opérationnel afin de détecter tout risque concernant la sécurité du réseau informatique, avec obligation de déclaration aux autorités compétentes en cas de piratage, et/ou d’intrusion dans les systèmes informatiques. En France, les OIV sont déjà soumis à cette obligation de reporter aux autorités compétentes toute attaque informatique, auprès de l’ANSSI.
4. Le GDPR -Règlement général européen sur la protection des données
Applicable en 2018, le GDPR, obligera, sanctions à la clé (jusqu’à 4% du CA annuel global), les sociétés du secteur financier à alerter les clients affectés par une fuite de données. L’article 37 du GPDR suggère par ailleurs la nomination, dans l’entreprise d’un délégué à la protection des données –DPD- qui serait à même de comprendre la façon dont les données sont traitées, d’en évaluer les risques, la conformité, la supervision, les choix technologiques… Alors que cette méthodologie d’analyse des risques cyber sécurité orientée « impact d’entreprise » est déjà maîtrisée par le RSSI (ISO27001), le DPD réalisera des analyses de risques orientées « impact sur les personnes ». Une mise en conformité GDPR qui risque donc de poser problème, tant en terme de charge de travail que de compétences requises pour l’analyse des risques.
5. Prestations de Services Essentielles Externalisées (PSEE)
S’agissant d’informatique déportée dans le nuage, et dès lors qu’une banque requiert un service Cloud pour les besoins de ses activités, elle doit vérifier la conformité de ce service aux lois, règles et normes qui s’appliquent à elle. Avec la notion de Prestations de Services Essentielles Externalisées (PSEE), le prestataire ou fournisseur Cloud est soumis à des obligations renforcées de sécurité pour toutes les activités relevant du cœur de métier de la banque et/ou jouant un rôle dans la sécurité des actifs et données bancaires (analyse préalable de risques, plan de continuité d’activité, manuels de procédures, respect du secret bancaire même en cas d’hébergement à l’étranger.). Le renforcement de la règlementation en matière de sécurité bancaire implique aussi l’apparition de catégories spécifiques de préjudices dans les contrats -informations privilégiées, conformité aux PSEE, protection des donnée- avec un nouveau risque, celui de déplacer les plafonds de responsabilité des banques vers leurs prestataires de services.
Par Catherine Nohra China et Thomas Beaugrand