HCSF: Revue de littérature risque cyber.

Date : Tags : , , , ,

Ce document du Haut Conseil de Stabilité Financière propose une analyse approfondie du risque cyber en tant que menace systémique pour le secteur financier. Les sources examinent l'explosion des coûts économiques, tout en soulignant la complexité de mesurer précisément ces pertes en raison du manque de données historiques. L'étude identifie plusieurs canaux de transmission, tels que la perte de confiance des clients et l'interconnexion technologique via le cloud, qui pourraient transformer un incident local en crise de liquidité globale. L'émergence de l'intelligence artificielle et de l'informatique quantique est présentée comme un facteur aggravant qui fragilise les méthodes de chiffrement actuelles. Pour contrer ces vulnérabilités, les auteurs préconisent une coopération internationale accrue et s'appuient sur le règlement européen DORA pour renforcer la résilience opérationnelle. Enfin, le texte souligne l'importance des tests de résistance et d'une transition rapide vers une cryptographie capable de résister aux futures capacités de calcul.

Le règlement Digital Operational Resilience Act (DORA), entré en application le 17 janvier 2025, renforce la résilience du secteur financier européen en harmonisant et en durcissant les exigences en matière de sécurité des systèmes d'information. Il vise à prémunir le secteur non seulement contre les cyberattaques, mais aussi contre les incidents informatiques d'origine opérationnelle, afin de limiter les effets potentiels d'un incident systémique.
Son action s'articule autour de plusieurs piliers fondamentaux :
  • Un cadre de gestion des risques renforcé : DORA impose aux entités financières de mettre en place des stratégies de gestion des risques informatiques et des risques liés aux tiers plus rigoureuses.
  • La gestion et la déclaration des incidents : Les institutions doivent assurer une gestion assidue des incidents et ont l'obligation de déclarer les incidents informatiques majeurs à leurs autorités de supervision. Cette mesure permet d'améliorer la visibilité sur les coûts et les conséquences économiques de ces événements.
  • Des tests de résilience opérationnelle : Toutes les entités financières doivent disposer d'un programme annuel de tests. De plus, les entités jugées systémiques sont tenues de réaliser des tests d'intrusion avancés fondés sur la menace, appelés TLPT (Threat‑led penetration tests), environ tous les trois ans.
  • La surveillance des prestataires tiers critiques (CTPPs) : Un cadre de surveillance européen permanent est instauré pour les prestataires de services informatiques considérés comme critiques, ce qui permet de mieux maîtriser les dépendances technologiques du secteur.
  • Le partage d'informations : Le règlement encourage le partage d'informations sur les cybermenaces entre les entités financières au sein de communautés de confiance, ainsi qu'avec les superviseurs.
Enfin, DORA favorise une meilleure coordination en cas de crise. Les autorités européennes de surveillance (ABE, EIOPA et ESMA) ont ainsi établi l'EU‑SCICF (EU systemic cyber incident coordination framework), un cadre destiné à faciliter une réponse efficace et coordonnée du secteur financier face à des incidents cyber majeurs menaçant la stabilité financière. En imposant également une posture proactive face aux risques technologiques émergents, comme l'intelligence artificielle ou l'informatique quantique, le règlement incite le secteur à anticiper les menaces futures.