Beaucoup d’entre nous tiennent pour acquis la possibilité de retirer de l’argent de leur compte bancaire, de le transférer à leur famille dans un autre pays et de payer leurs factures en ligne. Mais que se passerait-il si une cyberattaque faisait tomber la banque et qu’un virement ne passait pas ?
Comme nous devenons de plus en plus dépendants des services financiers numériques, le nombre de cyberattaques a triplé au cours de la dernière décennie, et les services financiers restent le secteur le plus ciblé. La cybersécurité est clairement devenue une menace pour la stabilité financière.
Compte tenu des fortes interconnexions financières et technologiques, une attaque réussie contre une grande institution financière, ou contre un système ou un service central utilisé par de nombreuses personnes, pourrait rapidement se propager à l’ensemble du système financier, entraînant des perturbations et une perte de confiance généralisées. Les transactions pourraient échouer car les liquidités sont piégées, les ménages et les entreprises pourraient perdre l’accès aux dépôts et aux paiements. Dans des scénarios extrêmes, les investisseurs et les déposants pourraient exiger leurs fonds ou tenter d’annuler leurs comptes ou d’autres services et produits qu’ils utilisent régulièrement.
Les outils de piratage sont désormais moins chers, plus simples et plus puissants, ce qui permet aux pirates moins qualifiés de faire plus de dégâts à des coûts moins importants qu’auparavant. L’expansion des services mobiles (la seule plateforme technologique disponible pour de nombreuses personnes), augmente les possibilités des pirates informatiques. Les attaquants ciblent les grandes et les petites institutions, les pays riches et les pays pauvres, et opèrent sans frontières. La lutte contre la cybercriminalité et la réduction des risques doit donc être un engagement commun entre les pays et à l’intérieur de ceux-ci.
Si le travail quotidien de gestion des risques – entretien des réseaux, mise à jour des logiciels et application d’une « cyberhygiène » rigoureuse – incombe toujours aux institutions financières, il est également nécessaire de relever les défis communs et de reconnaître les retombées et les interconnexions au sein du système financier. Les incitations individuelles et fermes à investir dans la protection ne suffisent pas ; une réglementation et une intervention des pouvoirs publics sont nécessaires pour éviter le sous-investissement et protéger le système financier dans son ensemble des conséquences d’une attaque.
À notre avis, de nombreux systèmes financiers nationaux ne sont pas encore prêts à gérer des attaques, tandis que la coordination internationale est encore faible. Grâce aux nouvelles recherches menées par le personnel du FMI nous pouvons suggérer six grandes stratégies qui renforceraient considérablement la cybersécurité et amélioreraient la stabilité financière dans le monde.
Cyber cartographie et quantification des risques
Les interdépendances du système financier mondial peuvent être mieux comprises en cartographiant les principales interconnexions opérationnelles et technologiques et les infrastructures critiques. Une meilleure intégration du cyber-risque dans l’analyse de la stabilité financière améliorera la capacité à comprendre et à atténuer le risque à l’échelle du système. La quantification de l’impact potentiel permettra de mieux cibler la réponse et de promouvoir un engagement plus fort en la matière. Les travaux dans ce domaine sont inexistants – en partie en raison de l’insuffisance des données sur l’impact des cyberévénements et des difficultés de modélisation – mais ils doivent être accélérés pour refléter leur importance croissante.
Une réglementation convergente
Une réglementation et une surveillance plus cohérentes au niveau international permettront de réduire les coûts de mise en conformité et de créer une plateforme pour une coopération transfrontalière plus forte. Des organismes internationaux tels que le Conseil de stabilité financière, le Comité sur les paiements et les infrastructures de marché et le Comité de Bâle ont commencé à renforcer la coordination et à favoriser la convergence. Les autorités nationales doivent travailler ensemble à la mise en œuvre.
Capacité de réponse
Les cyberattaques étant de plus en plus fréquentes, le système financier doit pouvoir reprendre rapidement ses activités même en cas d’attaque réussie, en préservant la stabilité. Les stratégies dites de réaction et de redressement sont encore embryonnaires, en particulier dans les pays à faible revenu, qui ont besoin d’un soutien pour les développer. Des accords internationaux sont nécessaires pour soutenir la réponse et le redressement des institutions et des services transfrontaliers.
Volonté de partager
Un meilleur partage des informations sur les menaces, les attaques et les réponses dans les secteurs privé et public renforcera la capacité de dissuasion et de réponse efficace. Cependant, de sérieux obstacles subsistent, souvent liés à des préoccupations de sécurité nationale et à des lois sur la protection des données. Les autorités de surveillance et les banques centrales doivent élaborer des protocoles et des pratiques de partage des informations qui fonctionnent efficacement dans le cadre de ces contraintes. Un modèle de partage des informations convenu au niveau mondial, l’utilisation accrue de plateformes d’information communes et l’expansion de réseaux de confiance pourraient tous réduire les obstacles.
Une dissuasion plus forte
Les cyberattaques devraient devenir plus coûteuses et plus risquées grâce à des mesures efficaces visant à confisquer les produits du crime et à poursuivre les criminels. L’intensification des efforts internationaux pour prévenir, perturber et dissuader les attaquants réduirait la menace à sa source. Cela nécessite une coopération étroite entre les services répressifs et les autorités nationales responsables des infrastructures critiques ou de la sécurité, entre les pays et les agences. Comme les pirates informatiques ne connaissent pas de frontières, la criminalité mondiale exige une répression mondiale.
Développement des capacités
Aider les économies en développement et émergentes à se doter de capacités en matière de cybersécurité renforcera la stabilité financière et favorisera l’inclusion financière. Les pays à faible revenu sont particulièrement vulnérables au risque cybernétique. La crise COVID-19 a mis en évidence le rôle décisif que joue la connectivité dans le monde en développement. L’exploitation sûre et sécurisée des technologies restera au cœur du développement et, par conséquent, il faudra veiller à ce que le cyber-risque soit pris en compte. Comme pour tout virus, la prolifération des cybermenaces dans un pays donné rend le reste du monde moins sûr.
Pour combler toutes ces lacunes, il faudra un effort de collaboration de la part des organismes de normalisation, des régulateurs nationaux, des superviseurs, des associations industrielles, du secteur privé, des services répressifs, des organisations internationales et d’autres fournisseurs et donateurs de développement des capacités. Le FMI concentre ses efforts sur les pays à faible revenu, en assurant le renforcement des capacités des autorités de surveillance financière et en faisant connaître les problèmes et les perspectives de ces pays aux organismes internationaux et aux débats politiques dans lesquels ils ne sont pas suffisamment représentés.
L’Équipe CIberObs